UE | ¿Puede un Encargado de tratamiento reutilizar los datos personales?

La reutilización de datos personales por los encargados de tratamiento es un tema controvertido, pero cada vez más actual, teniendo en cuenta el empleo de tecnologías disruptivas.

UE | ¿Puede un Encargado de tratamiento reutilizar los datos personales?
20 de enero de 2022

La reutilización de datos personales por los encargados de tratamiento es un tema controvertido, pero cada vez más actual, teniendo en cuenta el empleo de tecnologías disruptivas (como el uso de algoritmos de inteligencia artificial o machine learning) que los prestadores de servicios tecnológicos pretenden realizar.

Para aclarar esta cuestión, el pasado 12 de enero, la Autoridad Francesa de Protección de Datos, la Commission nationale de l'informatique et des libertés (“CNIL”), publicó una guía sobre la reutilización de datos personales por parte de los Encargados del tratamiento para sus propios fines en el marco del Reglamento General de Protección de Datos (RGPD).

Este documento aborda uno de los temas más frecuentes y controvertidos en el ámbito de la protección de datos en las negociaciones entre Encargados y Responsables: ¿existe legitimación para reutilizar los datos personales que el Encargado trata por cuenta del Responsable, ampliando así los fines del tratamiento originales?

Esto es, ¿puede un Encargado reutilizar datos personales para, por ejemplo, hacer más eficientes sus servicios de computación en la nube o de atención al cliente, entrenar sus sistemas de algoritmos de Inteligencia artificial o Machine Learning o realizar estudios estadísticos y análisis de comportamiento de usuarios para mejorar sus productos o servicios?

La CNIL responde afirmativamente en su guía, pero también recuerda que dicha reutilización ha de someterse a la superación de estrictas condiciones, en concreto: (i) la concesión de una autorización explícita del Responsable al Encargado; (ii) el cumplimiento de una prueba de compatibilidad; (iii) informar a los interesados de los nuevos fines del tratamiento; y (iv) el cumplimiento por parte del Encargado de las obligaciones del Responsable, conforme al RGPD.

Sentado lo anterior, para reutilizar lícitamente los datos personales para una finalidad distinta de la determinada por el Responsable se deberán tener en cuenta los siguientes detalles:

(i) la autorización deberá ser por escrito. Cabe resaltar que la CNIL afirma que la autorización previa y general para la reutilización de datos personales no es legal. Por lo que esta dicha autorización debe proporcionarse caso por caso, teniendo en cuenta los fines y las características específicas de los datos en cuestión.

(ii) la reutilización de los datos personales por parte del Encargado para sus propios fines constituirá un "tratamiento ulterior". Por lo que deberá evaluarse la relación entre la finalidad original del tratamiento y la nueva finalidad específica, explícita y legítima perseguida por el Encargado para analizar su compatibilidad. Asimismo, también se tendrán en cuenta los factores especificados en el artículo 6.4 RGPD, entre ellos: (a) el contexto de la recogida de los datos personales; (b) la naturaleza de dichos datos; (c) las posibles consecuencias para los interesados; y (d) la existencia de garantías adecuadas. Si la prueba de compatibilidad no se supera el Responsable deberá negarse a autorizar la reutilización de los datos; mientras que si se supera, el Responsable será libre de aceptar o no.

(iii) el Responsable tendrá el deber de informar a los interesados de los nuevos fines del tratamiento. Además, los interesados también tendrán derecho a oponerse al tratamiento y ser informados de esta posibilidad. Una de las incógnitas de este deber será determinar si la descripción general de los derechos de los interesados recogida en las políticas de protección de datos del Responsable original ya cumpliría con este requisito.

(iv) el Encargado se convierte en un Responsable (del tratamiento ulterior) para estos fines independientes y debe cumplir las obligaciones establecidas por el RGPD con respecto al tratamiento. Por ejemplo, será necesario que el Encargado: (a) identifique una base jurídica para el tratamiento; (b) cumpla con una finalidad bien definida; y (c) proporcione información sobre el nuevo tratamiento que aún no haya sido informado a los interesados, salvo que se aplique alguna excepción.

La CNIL reconoce que las partes (Responsable y Encargado) pueden cooperar para proporcionar información a los interesados si el Encargado tiene la capacidad de comunicarse con los interesados directamente.

En conclusión, la guía de la CNIL establece con claridad que los Encargados podrán reutilizar los datos personales para sus propios fines, pero sólo al amparo del cumplimiento de las estrictas condiciones ya mencionadas.

Sin duda alguna, una puerta de entrada a que los encargados reutilicen datos con fines distintos a los iniciales lícitamente. Veremos si esta guía es el origen de una homóloga en España y en el resto de Estados Miembros en los próximos meses.

20 de enero de 2022