Durante su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento, unas directrices sobre el interés legítimo, una declaración sobre el establecimiento de normas procedimentales adicionales para la aplicación del RGPD y el programa de trabajo del CEPD para 2024-2025.
En primer lugar, el CEPD adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia del (de los) encargado(s) y subencargado(s) del tratamiento a raíz de una solicitud presentada al Comité por la Autoridad Danesa de Protección de Datos (APD) en virtud del artículo 64, apartado 2, del RGPD. El artículo 64, apartado 2, del RGPD establece que cualquier autoridad de protección de datos puede solicitar al Comité que emita un dictamen sobre cuestiones de aplicación general o que surtan efectos en más de un Estado miembro.
El dictamen se refiere a situaciones en las que los responsables del tratamiento dependen de uno o varios encargados y subencargados del tratamiento. En particular, aborda ocho cuestiones sobre la interpretación de determinadas obligaciones de los responsables que dependen de los encargados y subencargados del tratamiento, así como la redacción de los contratos entre responsables y encargados del tratamiento, que se derivan, en particular, del artículo 28 del RGPD (LA LEY 6637/2016).
El dictamen explica que los responsables del tratamiento deben tener la información sobre la identidad (es decir, nombre, dirección, persona de contacto) de todos los encargados del tratamiento, subencargados del tratamiento, etc., fácilmente disponible en todo momento para que puedan cumplir mejor sus obligaciones en virtud del artículo 28 del RGPD (LA LEY 6637/2016). Además, la obligación del responsable del tratamiento de verificar si los (sub)encargados del tratamiento presentan «garantías suficientes» debe aplicarse con independencia del riesgo para los derechos y libertades de los interesados, aunque el alcance de dicha verificación puede variar, en particular en función de los riesgos asociados al tratamiento.
El dictamen también establece que, si bien el encargado inicial debe garantizar que propone subencargados con garantías suficientes, la decisión final y la responsabilidad de contratar a un subencargado específico siguen recayendo en el responsable del tratamiento.
El CEPD considera que, en virtud del RGPD, el responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de subtratamiento para comprobar si las obligaciones de protección de datos se han transmitido a lo largo de la cadena de tratamiento. El responsable del tratamiento debe evaluar si es necesario solicitar una copia de dichos contratos o revisarlos para poder demostrar el cumplimiento del RGPD.
Además, cuando las transferencias de datos personales fuera del Espacio Económico Europeo tengan lugar entre dos (sub)encargados del tratamiento, el encargado como exportador de datos debe preparar la documentación pertinente, como la relativa al motivo de la transferencia utilizada, la evaluación de impacto de la transferencia y las posibles medidas complementarias. Sin embargo, dado que el responsable del tratamiento sigue estando sujeto a las obligaciones derivadas del artículo 28, apartado 1, del RGPD sobre «garantías suficientes», además de las establecidas en el artículo 44 para garantizar que el nivel de protección no se vea socavado por las transferencias de datos personales, debe evaluar esta documentación y poder mostrarla a la autoridad de protección de datos competente.
A continuación, el Comité adoptó directrices sobre el tratamiento de datos personales basado en el interés legítimo.
Los responsables del tratamiento necesitan una base jurídica para tratar los datos personales de forma lícita. El interés legítimo es una de las seis posibles bases jurídicas.
Estas Directrices analizan los criterios establecidos en el artículo 6, apartado 1, letra f), del RGPD que los responsables del tratamiento deben cumplir para tratar legalmente datos personales sobre la base de un interés legítimo. También tiene en cuenta la reciente sentencia del TJUE sobre este asunto (C-621/22, de 4 de octubre de 2024).
Para basarse en un interés legítimo, el responsable del tratamiento debe cumplir tres condiciones acumulativas:
1. La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero;
2. La necesidad de procesar datos personales con el fin de perseguir el interés legítimo;
3. Los intereses o las libertades y derechos fundamentales de las personas no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (ejercicio de equilibrio).
En primer lugar, sólo los intereses legítimos, articulados clara y precisamente, reales y presentes pueden ser considerados legítimos. Por ejemplo, tales intereses legítimos podrían existir en una situación en la que la persona sea un cliente o esté al servicio del responsable del tratamiento.
En segundo lugar, si existen alternativas razonables, igual de eficaces, pero menos intrusivas para lograr los intereses perseguidos, el tratamiento puede no considerarse necesario. La necesidad de un tratamiento también debe examinarse con el principio de minimización de datos.
En tercer lugar, el responsable del tratamiento debe velar por que su interés legítimo no prevalezca sobre los intereses individuales y los derechos fundamentales de las libertades. En este ejercicio de ponderación, el responsable del tratamiento debe tener en cuenta los intereses de las personas, el impacto del tratamiento y sus expectativas razonables, así como la existencia de salvaguardias adicionales que podrían limitar el impacto en la persona.
Además, las presentes Directrices explican cómo debe llevarse a cabo esta evaluación en la práctica, incluso en una serie de contextos específicos, como la prevención del fraude, el marketing directo y la seguridad de la información. El documento también explica la relación entre esta base legal y una serie de derechos de los interesados en virtud del GDPR (LA LEY 6637/2016).
Las Directrices serán objeto de consulta pública hasta el 20 de noviembre de 2024.
A continuación, el Comité adoptó una declaración a raíz de las modificaciones introducidas por el Parlamento Europeo y el Consejo en la propuesta de Reglamento de la Comisión Europea por el que se establecen normas procedimentales adicionales relativas a la aplicación del RGPD.
En general, la Declaración acoge con satisfacción las modificaciones introducidas por el Parlamento Europeo y el Consejo, y recomienda seguir abordando elementos específicos para que el nuevo Reglamento alcance los objetivos de racionalizar la cooperación entre las autoridades y mejorar la aplicación del RGPD.
La Declaración formula recomendaciones prácticas que pueden utilizarse en el contexto de los próximos diálogos tripartitos. En particular, el CEPD reitera la necesidad de una base jurídica y un procedimiento armonizado para los acuerdos amistosos y formula recomendaciones con vistas a garantizar que el consenso sobre el resumen de las cuestiones clave se alcance de la manera más eficiente. La Junta también acoge con satisfacción la inclusión de plazos adicionales, al tiempo que recuerda que deben ser realistas, e insta a los colegisladores a que eliminen las disposiciones relacionadas con las objeciones pertinentes y motivadas y la «exposición de motivos» en el procedimiento de resolución de litigios.
Si bien la Declaración acoge con satisfacción el objetivo de lograr una mayor transparencia, la introducción de un expediente conjunto, como propone el Parlamento Europeo, requeriría cambios complejos en los sistemas de gestión de documentos y comunicación utilizados a escala europea y nacional. Las soluciones técnicas para su aplicación deben evaluarse cuidadosamente y deben aclararse más las modalidades para conceder acceso a ellas.
El CEPD acoge con satisfacción la enmienda del Consejo que permite a la autoridad de protección de datos principal excluirse de la denominada cooperación reforzada en casos sencillos y sencillos, pero destaca la necesidad de aclarar más el alcance de esta exclusión voluntaria.
El presidente del CEPD, Anu Talus, ha declarado: «El proyecto de Reglamento tiene el potencial de racionalizar en gran medida la aplicación del RGPD aumentando la eficiencia de la tramitación de los asuntos. Es necesaria una mayor armonización a escala de la UE, a fin de maximizar la plena eficacia de los mecanismos de cooperación y coherencia del RGPD».
En su último pleno, el Comité adoptó su programa de trabajo para 2024-2025. Este es el primero de los dos programas de trabajo que aplicarán la estrategia del CEPD para 2024-2027 adoptada en abril de 2024. Se basa en las prioridades establecidas en la estrategia del CEPD y también tiene en cuenta las necesidades identificadas como más importantes para las partes interesadas.
Por último, los miembros del CEPD acordaron conceder el estatuto de observador a las actividades del CEPD a la Agencia de Información y Privacidad de Kosovo (APD de Kosovo), de conformidad con el artículo 8 del Reglamento interno del CEPD.