La autoridad danesa de protección de datos solicitó al Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) una opinión sobre la interpretación de ciertas obligaciones para los responsables de tratamientos que dependen de encargados y subencargados, con el objetivo de armonizar esta interpretación a nivel europeo.
El EDPB ha publicado sus conclusiones en el Dictamen 22/2024, que se resumen a continuación:
- El responsable debe identificar a todos los encargados y subencargados y verificar que ofrecen garantías suficientes con independencia del riesgo asociado al tratamiento de datos. No obstante, podría ser que el nivel de detalle de la verificación varíe en función del riesgo asociado al tratamiento. La información que debe tener el responsable es, al menos, nombre, dirección, persona de contacto y el tipo de tratamiento que realiza. El encargado deberá ayudar al responsable a esta identificación.
- Los responsables deben asegurarse de que los encargados implementan medidas técnicas y organizativas adecuadas para cumplir con el GDPR. Para los tratamientos de alto riesgo, los responsables deben realizar verificaciones adicionales.
- Aunque sea el encargado quien contrate al subencargado, la responsabilidad de verificar las garantías recae sobre el responsable y debe tener evidencias de ello.
- Respecto a las transferencias internacionales fuera del Espacio Económico Europeo, el EDPB indica que será el responsable quien debe garantizar que la transferencia sea acorde con el GPDR y se garantice el nivel de protección exigido.
En definitiva, el EDPB ratifica la obligación del responsable de controlar los tratamientos de datos llevados a cabo por terceros encargados o subencargados, de forma que se garantice la protección constante de los derechos de los interesados a través de toda la cadena del tratamiento.