Infracción del RGPD: ¿quién tiene la responsabilidad?

08/07/2019

A la hora de tratar datos de carácter personal, no siempre lo hacemos solos. Como ya vimos en el artículo sobre encargados y corresponsables de tratamiento, puede haber una pluralidad de organizaciones involucradas en la gestión de los datos personales. Así, puede suceder que una de ellas puede tratar los datos por cuenta de la otra, o también puede suceder que varias organizaciones tengan poder de decisión compartido sobre los fines y los medios empleados, o incluso que los encargados de tratamiento pueden llegar a subcontratar el mismo (y la subcontrata puede hacer otro tanto, en una cadena sin fin), de tal manera que nos encontremos ante un solapamiento de varias de estas figuras que determinen una preocupante indeterminación de quién de tales organizaciones es la última encargada y responsable del tratamiento, o en su caso, quiénes son los corresponsables de ello.

Esto tiene una especial trascendencia a la hora de determinar quién tiene responsabilidad en caso de algún incumplimiento de la normativa vigente.

¿Qué pasa si un interesado considera que durante la cadena de tratamiento de sus datos se ha cometido una ilegalidad? ¿Quién debe responder en caso de una filtración de los datos? ¿Ante quién se puede reclamar una indemnización económica?

 Por fortuna, el RGPD nos ofrece una serie de respuestas para estos interrogantes.

Empezando por los encargados del tratamiento, el artículo 28 RGPD obliga a los responsables a elegir «únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas u organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos [del RGPD] y garantice la protección de los derechos del interesado«.

Por lo tanto, el primer filtro existente es que el responsable no contrate tratamientos de datos con aquellas organizaciones que no inspiren la debida confianza. Si elige a un socio comercial defectuoso, podría interpretarse que el responsable del tratamiento debe hacer frente a las consecuencias derivadas, dado el incumplimiento del artículo 28 RGPD citado.

Esto se extiende también a las subcontratas del encargo de tratamiento, dado que un encargado no puede recurrir a otro sin la autorización previa del responsable. Así que, una vez más, el responsable determinará quién trata los datos objeto de futura discordia. Elegir bien, de nuevo, es su responsabilidad.

En todo caso, el artículo 82 RGPD viene a decir que un encargado o responsable podrá quedar exento del pago de daños y perjuicios si demuestra que el incumplimiento no ha sido causado por culpa suya. Con lo que si está meridianamente claro quién fue el causante del incumplimiento, las demás partes implicadas quedarían exentas de este pago.

Pero no siempre es nos encontramos ante situaciones en la que la exculpación resulte meridianamente clara. La situación puede parecer más compleja en el caso de los corresponsables del tratamiento. Al fin y al cabo, todos ellos determinan los objetivos y medios del tratamiento, de forma que culpar a uno en concreto sobre los demás puede dar la apariencia de ser más difícil. Sin embargo, no es así. En realidad, el artículo 26 RGPD obliga a que los corresponsables suscriban un acuerdo en el que delimiten sus distintas responsabilidades. Ello puede ayudar a dirimir en el futuro quién debió encargarse de qué, y así asignar de forma más simple la responsabilidad por un incumplimiento del Reglamento.

Además, el mismo artículo permite a los particulares reclamar contra cualquiera de los corresponsables. Esto significa que, en el fondo, todos ellos responderán de todo frente a terceros. Luego, en su caso, tendrán la posibilidad de reclamarse entre sí lo que en realidad no haya sido culpa suya; pero frente a los afectados la responsabilidad es solidaria.

Por último, hay que recordar que el RGPD tiene en cuenta varios elementos a la hora de determinar la cuantía de una sanción por incumplimiento de sus normas. Y uno de estos elementos es «el grado de responsabilidad del responsable o encargado del tratamiento«. De modo que siempre podrá mitigarse la responsabilidad en función de las culpas de cada cual.

Si tiene dudas sobre el régimen de responsabilidad aplicable a sus tratamientos de datos, póngase en contacto con nosotros y le ayudaremos a protegerse.

Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales.

  • Servicios

  • Sectores