El EDPB ha elaborado el dictamen “22/2024 sobre determinadas obligaciones derivadas de la relación de confianza y dependencia de los encargados y subencargados” con ocasión de la solicitud presentada por la autoridad de control danesa (artículo 64.2 del RGPD) sobre la interpretación de distintas obligaciones de los responsables del tratamiento cuya información es tratada por encargados o subencargados, así como sobre la redacción de los contratos que deben regular sus relaciones.
Así, entre otras cuestiones, en el informe se analiza el articulado del RGPD, indicándose lo siguiente:
• Que los responsables del tratamiento deben conservar la información sobre la identidad de sus encargados, de modo que la misma se encuentre fácilmente accesible en todo momento y, así, poder dar cumplimiento a las obligaciones que impone el artículo 28 del RGPD. A estos efectos, el encargado debe facilitar (y mantener actualizada) esta información al responsable.
• Que los responsables deben verificar si los subencargados y encargados tienen garantías suficientes para realizar el tratamiento conforme a la normativa vigente “con independencia del riesgo para los derechos y libertades de los interesados”. No obstante, el alcance de dicha verificación puede variar en función del tratamiento.
En este sentido, a pesar de que el encargado inicial debe asegurarse de que propone y contrata subencargados que ofrezcan garantías suficientes, la decisión última (y, en consecuencia, la responsabilidad) de contratar a un determinado subencargado recae sobre el responsable.
A pesar de lo anterior, se indica por el EDPB que el responsable no está obligado a solicitar en todos los casos los contratos formalizados entre el encargado y el subencargado a efectos de verificar si las obligaciones se han transmitido adecuadamente. Sin embargo, se recomienda que este opte por basarse en la información facilitada por el encargado y, en aquellos casos que sea necesario (cuando el tratamiento suponga un elevado riesgo o dicha información parezca inexacta), ampliar la misma.
En aquellos supuestos en los que se produzcan transferencias internacionales (esto es, fuera del Espacio Económico Europeo) entre subencargados del tratamiento, el exportador de los datos debe elaborar la documentación necesaria (motivo de la transferencia, evaluación de impacto, posibles medidas complementarias, etc.) y facilitársela al responsable a efectos de que este la revise y, en su caso, la remita a la autoridad de control competente, por cuanto es responsable de garantizar que el nivel de protección de los datos no se reduce con ocasión de la citada transferencia.
Respecto a la redacción de los contratos, se debe incluir una referencia a que el encargado tratará los datos siguiendo instrucciones documentadas del responsable. En este sentido, se recomienda incluir el siguiente texto por parte del EDPB (o alguno similar): “a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento”.
Asimismo, en el informe se recomiendan (y transcriben) determinadas expresiones que pueden incluirse en los contratos.