Beneficios del modelo de Corresponsabilidad que permite el RGPD para las iniciativas conjuntas
Con la entrada en vigor del RGPD se simplifica el modelo de responsabilidad que hasta entonces había para establecer para formalizar la relación entre varias empresas que desarrollan una iniciativa conjunta y los interesados en la misma; nace el modelo de corresponsabilidad.
Se dice que dos o más empresas son corresponsables de una o más operaciones de tratamiento de datos personales cuando determinan conjuntamente los objetivos y medios de dichas operaciones de tratamiento.
Beneficio para los interesados:
- Antes, era el interesado quien tenía que gestionar la complejidad intrínseca al hecho de mantener una relación con muchas empresas: debía establecer una relación con cada una de las empresas y, además de firmar o aceptar muchas veces, no estaba claro ante cual debía presentar una solicitud (o si había que presentársela a todas) y cuál era el alcance que podía darle a sus quejas o demandas ante cada una de estas empresas. Ahora, toda la complejidad de los procesos de establecimiento/solicitud/queja/demanda/etc., es decir, toda la complejidad de la relación entre el interesado y las empresas que participan en la iniciativa conjunta se transfiere a las empresas. El interesado puede dirigirse a cualquiera de estas empresas (o al punto de contacto que hayan designado entre todas) y pedir lo que considere dentro del alcance de la iniciativa conjunta.
Beneficio para las empresas que quieren poner en marcha una iniciativa conjunta:
- Antes, cada empresa debía definir con mucho detalle sus relaciones B2C[1] porque delante del interesado cada una de ellas actuaba independientemente (no había ningún otro modelo legal que el de responsabilidad individual, personal e intransferible). Era un proceso complejo y cambiante, porque si en un momento dado las responsabilidades internas de las empresas cambiaban, aunque no hubiera ningún cambio en los ojos del interesado, cada una debía redefinir su relación con sus interesados para reflejar dichos cambios internos. Ahora, las empresas no tienen que redefinir nada con cada uno de los interesados a menos que los cambios les afecten, y la mayoría de los cambios pasan a ser problemas B2B[2] (mucho menos complejos que los B2C, entre otras razones, porque el número de intervinientes es mucho menor).
Las entidades corresponsables deben llegar a un acuerdo formal (e.g. un contrato), cuyos aspectos esenciales deben estar a disposición de los interesados, en el que:
- se defina el papel de cada uno en las operaciones de tratamiento, es decir, cómo trata cada entidad sus propios datos personales y los de sus socios de iniciativa, tanto para sus propias funciones como para cumplir con las obligaciones que tiene ante los interesados conforme los artículos 13-14 del RGPD, y
- se defina de manera transparente y con acuerdo mutuo el alcance de sus responsabilidades respecto a los datos que usa más de una empresa.
[1] Business to Customer
[2] Business to Business