El concepte de "corresponsable del tractament" no és nou, ja que apareixia en la Directiva 95/46/CE, però el RGPD introdueix regles específiques per a aquest supòsit. La corresponsabilitat apareix quan diferents entitats/parts estan involucrades en un tractament de dades. Ara, el RGPD ha introduït regles concretes per als corresponsables del tractament i un marc que en defineix la relació.
En concret, l'article 4.7 del RGPD defineix així el corresponsable del tractament:
"Responsable del tractament o responsable: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o conjuntament amb altres, determina les finalitats i els mitjans del tractament; si el dret de la Unió o dels estats membres en determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la Unió o dels estats membres.
L'article 26 defineix la regulació específica dels requeriments legals del corresponsable:
"1. Quan dos o més responsables determinen conjuntament els objectius i els mitjans del tractament, se’ls considera corresponsables del tractament. Els corresponsables han de determinar de manera transparent i de mutu acord les seves responsabilitats respectives en el compliment de les obligacions imposades per aquest Reglament, en particular pel que fa a l’exercici dels drets de l'interessat i de les seves obligacions de subministrament d'informació a què es refereixen els articles 13 i 14, tret que -i en la mesura que- les responsabilitats dels corresponsables es regeixin pel dret de la Unió o dels estats membres. Aquest acord pot designar un punt de contacte per als interessats.
2. L'acord esmentat en l'apartat 1 ha de reflectir les funcions i les relacions dels corresponsables en relació amb els interessats. Els aspectes essencials de l'acord s’han de posar a disposició de l'interessat.
3. Independentment dels termes de l'acord a què es refereix l'apartat 1, els interessats poden exercir els drets que els reconeix aquest Reglament davant de cadascun dels responsables i en contra de cadascun d’ells."
Seguidament analitzarem els passos per valorar quan apareix aquesta figura. Actualment, la participació de diferents entitats en un mateix tractament és habitual, però, per si mateix, aquest fet no comporta que hi hagi corresponsabilitat. Poder discernir quan es dona és molt important per concretar la base o les bases jurídiques que legitimen el tractament, i atribuir les responsabilitats que corresponen a cadascun. És especialment important fixar qui es farà càrrec de respondre a les persones afectades i resoldre els exercicis de drets, i com.
Recordem que els conceptes de "responsable", "corresponsable" i "encarregat" del tractament són funcionals, és a dir, tenen per objectiu concretar les diferents responsabilitats en funció del rol de cada part.
Per fixar els elements i els criteris que cal tenir presents per determinar l’existència del corresponsable, em basaré en dos documents, en concret:
- La Directriu 7/2020, de 7 de juliol de 2021, del Comitè Europeu de Protecció de Dades, sobre els conceptes de "responsable" i "encarregat" de tractament en el RGPD.
- La Directriu 2018/1725, de 7 de novembre de 2019, del Supervisor Europeu de Protecció de Dades, sobre els conceptes de "responsable", "encarregat" i "corresponsable" del tractament.
Segons estableixen aquestes entitats, el responsable del tractament és qui té influència de facto sobre les operacions del tractament. El mer fet que una entitat tingui, o no, accés a les dades no és un criteri determinant per fixar la corresponsabilitat, ja que diferents responsables poden interactuar en diverses operacions del tractament, sense que necessàriament comparteixin la decisió sobre les finalitats i els mitjans.
El control sobre el tractament de dades i, per tant, qui és el responsable del tractament, pot derivar de diferents circumstàncies:
- Una competència legal explícita.
- Una competència legal implícita (una norma regula tasques/deures concrets per a una entitat i per complir-los ha de tractar dades personals).
- Supòsits en què cal avaluar les circumstancies del cas. Si no n'hi ha cap de les anteriors, el rol i les responsabilitats de les parts es poden establir avaluant les circumstancies de fet d’una operació de tractament concreta.
- Fins i tot podem trobar-ho regulat en un contracte o un conveni.
Però, més enllà de la perspectiva formal, allò que realment ens ajudarà a determinar quan existeix o no un corresponsable serà l’avaluació del cas concret, per tal de delimitar qui té una influencia real en la decisió final sobre la finalitat (per a què s’utilitzen les dades) i els mitjans (com es tracten les dades) del tractament. Una perspectiva formal pot no ser suficient, ja que en molts casos la concreció formal de la corresponsabilitat no està definida ni per una llei ni per un contracte, i encara que ho estigui no sempre es correspondrà amb la realitat.
Com veiem, hi ha corresponsabilitat quan dues o més entitats participen de la decisió de les finalitats i mitjans d’una operació de tractament. Pot ser una decisió conjunta en la qual totes les parts decideixen, que comporta una intenció comuna, o pot ser una decisió convergent.
Aquest últim concepte deriva de la jurisprudència del Tribunal de Justícia de la Unió Europea, que l'ha anat interpretant en diverses sentències. La corresponsabilitat es produeix quan hi ha una decisió de cadascuna de les parts sobre els mitjans i les finalitats, que es complementen i són necessàries perquè el tractament es porti a terme, de forma que tenen un impacte tangible en la determinació de la finalitat i els mitjans (un vincle inextricable). La participació de les parts és inseparable.
Un cop determinada l’existència de corresponsabilitat, el RGPD exigeix que aquesta relació es reguli mitjançant un acte vinculant per a les diferents parts, on es concretin, de forma transparent i consensuada, les responsabilitats respectives. Com ja s'havia indicat, és particularment important fixar qui complirà els drets de les persones afectades i com, tot i que la persona afectada no queda vinculada per aquesta decisió ja que sempre pot triar a quin corresponsable s'adreça.
A més, també cal concretar com es distribueixen les responsabilitats en relació amb el compliment dels principis de protecció de dades, la base jurídica, les mesures de seguretat, la notificació de violacions de seguretat, l’avaluació d’impacte sobre protecció de dades, la utilització d’encarregats del tractament, les transferències internacionals i qui serà el punt de contacte amb les autoritats de protecció de dades (en tot cas, les autoritats no queden vinculades a aquesta decisió).
El Comitè Europeu de Protecció de Dades també recomana que la part essencial de l’acord de corresponsabilitat estigui disponible per a les persones afectades.
Finalment, cal recordar que una organització pot ser considerada com a corresponsable només respecte de les operacions de tractament sobre les quals determina, conjuntament amb d'altres, la finalitat i els mitjans. Si una de les parts fixa per si sola les finalitats o els mitjans d’operacions anteriors o posteriors en el cicle del tractament, aquesta entitat és considerada responsable del tractament d’aquestes operacions.
L’existència de corresponsabilitat no comporta, necessàriament, que totes les parts tinguin responsabilitats iguals, ja que poden participar en diferents fases del tractament i tenir un grau de responsabilitat diferent.