Corresponsable del Tratamiento

Tiempo de lectura: 3 minutos

Estimados lectores, en esta entrada del blog, nos centraremos en la figura de corresponsable del tratamiento.

 

¿Qué es?

rgpd sevilla

Es cuando una empresa determina con otra empresa de manera conjunta, los fines y los medios de un tratamiento de datos de carácter personal.

Esto ocurre cuando una empresa administra datos que son responsabilidad de otra empresa y ambas deciden sobre los fines y medios del tratamiento.

 

En estos casos, ambas empresas son Responsables de los datos y de las actividades que les hayan sido asignadas. Esto se formaliza mediante un acuerdo denominado comúnmente como «Acuerdo de Corresponsabilidad». Todos los corresponsables, estarán obligados a cumplir las normativas de privacidad en todo lo que les afecte como Responsables.

 

En el acuerdo de corresponsabilidad, se determinarán las funciones que correspondan a cada empresa, así los mecanismos o formas de llevar a cabo el ejercicio de derechos de los interesados. 

Los aspectos esenciales de dicho acuerdo deberán estar a disposición de los interesados, por lo que se recomienda añadirlos en la información que se facilita del tratamiento o que se publiquen en los medios de comunicación del corresponsable del tratamiento (web, RRSS, etc.).

Ejemplos de Corresponsabilidad

Un ejemplo es claro cuando en un grupo de empresas, la matriz administra los datos de las empresas filiales (determina o decide parte del tratamiento). En estos casos, es casi seguro que la matriz decide sobre algunos ficheros de la filial, por lo que las dos empresas serán CT porque comparten el tratamiento de algún fichero. Vamos a poner un ejemplo en este sentido:

  • Datos laborales de trabajadores. La filial es la que tiene contratados los empleados, pero la matriz decide sobre contratos, nóminas, etc. La filial es el Responsable que realiza la mayor parte del tratamiento y la matriz es el Responsable que administra la otra parte. En este caso, los fines del tratamiento son complementarios, ya que la finalidad de la filial es la gestión laboral, y la de la matriz es la gestión administrativa.

Cuando dos empresas son semejantes en cuanto a jerarquía, o sea, no son matriz y filial, se debe determinar si alguna de ellas decide sobre los tratamientos que realiza la otra. Si no es el caso y solo comparten información, podrán ser:

  • Encargados de tratamiento (ET), si realizan el tratamiento por cuenta de la otra empresa -por encargo-.
  • Destinatarios de datos (DT), si tratan los datos de la otra empresa por cuenta propia, según sea la relación establecida entre ambas empresas.

Otro ejemplo puede ser los concesionarios de automóviles. Hay marcas que se consideran CT, otras RT y otras DT. En este caso se pueden dar todas las situaciones:

  • Corresponsable de tratamiento (CT) cuando la marca decide sobre la relación comercial de los clientes del concesionario, o sea se hace responsable de las campañas de marketing, satisfacción, encuestas, etc.
  • Encargados de tratamiento (ET), cuando la marca considera que los clientes son suyos y el concesionario realiza el tratamiento por cuenta de la marca.
  • Destinatarios de datos (DT), cuando la marca trata los datos por cuenta propia, sin afectar al tratamiento que realiza el concesionario, por ejemplo, la tramitación de garantías, seguros, servicios financieros, de la propia marca.

Otros ejemplos de CT:

  • Administrador de fincas, cuando haya sido nombrado de manera que esté autorizado a decidir por su cuenta los fines y los medios de tratamiento de los datos relativos a la comunidad de propietarios. En este caso serán CT del tratamiento de todos los datos que conciernen a los propietarios.
  • Graduados sociales o abogados, cuando estén autorizados a decidir por su cuenta los fines y los medios de tratamiento de los datos relativos a los empleados de sus clientes: nóminas, seguros sociales, etc. En este caso sólo serán CT del tratamiento de los datos que conciernen a los empleados de sus clientes.
  • Videovigilancia compartida, cuando varias empresas usan las mismas cámaras de videovigilancia porque los interesados transitan por locales de distinta responsabilidad. En este caso sólo serán CT del tratamiento del fichero de videovigilancia.
  • Clientes compartidos mediante una única plataforma accesible por internet, cuando varias empresas comparten la misma información de una persona y le presten servicios distintos. En este caso solo serán CT del fichero que contiene los datos identificativos y de contacto de los clientes comunes. Los demás tratamientos serán responsabilidad de cada una de las empresas, ya que no compartirán más información.

Espero que os haya gustado este post.

Podéis encontrar otros sobre las diferentes figuras en otras entradas del blog así como en las guías de la AEPD y el RGPD.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *