El Consejo Europeo de Protección de Datos ha adoptado un dictamen sobre las obligaciones derivadas del artículo 28 del Reglamento de Protección de Datos sobre el uso de (sub)encargados del tratamiento por parte del responsable del tratamiento, incluida la obligación de documentación del responsable del tratamiento cuando utiliza (sub)encargados del tratamiento de datos.
En su sesión plenaria de los días 7 y 8 de octubre de 2024, el Comité Europeo de Protección de Datos (EDPB) adoptó un dictamen de conformidad con el artículo 64, apartado 1, del Reglamento de Protección de Datos. 2 sobre las obligaciones de los responsables del tratamiento cuando recurren a encargados del tratamiento. La Autoridad Danesa de Protección de Datos ha participado activamente en el trabajo sobre la declaración, particularmente porque era importante para la autoridad que se formulara un entendimiento común claro de las reglas que rodean el uso de procesadores de datos por parte del controlador de datos en servicios complejos, e igualmente importante que esto El entendimiento se aplicará por igual entre las autoridades nacionales de supervisión.
La solicitud de opinión fue presentada por la Autoridad Danesa de Protección de Datos a la luz del hecho de que muchos responsables del tratamiento de datos –tanto en Dinamarca como en el resto de Europa– hacen un uso extensivo de procesadores de datos, particularmente en relación con el uso de servicios en la nube. donde el proveedor de la nube suele utilizar varios subcontratistas para la prestación de sus servicios. Una de las áreas que muchos responsables del tratamiento enfrentan continuamente desafíos es la cuestión de la documentación que deben proporcionar para garantizar en última instancia el cumplimiento del RGPD.
Por eso es positivo que ahora haya una opinión paneuropea en este ámbito.
Opinión del CEPD
En la declaración, el CEPD aborda, entre otros, la cuestión de hasta qué punto el responsable del tratamiento debe poder identificar a todos sus encargados del tratamiento, y en qué medida el responsable del tratamiento debe verificar y documentar que los subencargados están de hecho sujetos a las mismas obligaciones de protección de datos que los primeros datos procesador.
La declaración también aborda la cuestión de la obligación de documentación del controlador de datos en la situación en la que un procesador de datos dentro de la UE/EEE transfiere datos personales a un (sub)procesador de datos en un tercer país.