Corresponsabilidad: Ejemplos: Ensayos clínicos. Recursos humanos.
En este post, antes de llegar a la corresponsabilidad, desarrollaremos los conceptos de responsable y encargado de tratamiento. Sobre todo el tema de la corresponsabilidad: un tema muy básico que siempre ha estado ahí, pero que se ha puesto bastante interesante con la aplicación del RGPD y alguna sentencia reciente del TJUE.
Al final del post nos centraremos en el régimen de la corresponsabilidad, bastante más desconocido y peor aplicado.
Y como no sólo de teoría vive el hombre, analizaremos tres casos relevantes y recurrentes, con especial detenimiento en los polémicos Ensayos Clínicos y en el control biométrico en el ámbito de recursos humanos.
Hace unas semanas nos lo pasamos pirata debatiendo en Linkedin con el caso práctico de los Oompa-Loompas que desarrollaré al final. Podeis seguir mis miniposts diarios -y chorradas varias- en Linkedin a través del hashtag #JGarciaHerreroDPD.
Como siguen más de 5.500 palabras, les pongo un índice para que vayais directamente a lo que os interesa, que me sé que no tenéis tiempo pa ná-de-ná.
Indice
- 1. Responsable de tratamiento
- Si, puedes acabar siendo responsable sin -en teoría- comerlo ni beberlo
- 2. El Encargado de tratamiento
- El Encargado cuñao
- El Encargado Titanic
- Caso práctico 1: (Skinner y Otto): Todos los encargados son Responsables de parte de los datos de sus Responsables.
- El Encargado que se salta a la torera las instrucciones del Responsable y reutiliza esos datos del Responsable para sus propias finalidades
- El Encargado que no sigue estrictamente las instrucciones del Responsable y comunica datos, pero lo hace en cumplimiento de obligaciones legales (art. 28.3.a) y 29 del RGPD).
- Responsabilidad del Encargado y del Responsable de Tratamiento
- ¿De qué hablamos cuando hablamos de determinación conjunta de finalidades y medios?
- El Caso FashionId
- Alcance de la corresponsabilidad frente a terceros
- ¿Cómo demonios se prepara un contrato de corresponsabilidad ?
- Otros elementos que se recomienda integrar en el contrato o acuerdo de corresponsabilidad
- Caso práctico 2 de corresponsabilidad: Hospital y Promotor en Ensayos clínicos.
- ¿Los Centros Hopitalarios son corresponsables? ¿son Encargados?
- Sí amigos, sí: corresponsabilidad
- a.- Comisión Europea
- b.- Comité Europeo de Protección de Datos
- c.- Grupo de Trabajo del art. 29
- d.- Agencia de Protección de Datos Catalana
1. Responsable de tratamiento
Responsable es la entidad “que decide la finalidad y medios del tratamiento”.
Lo cual no es decir mucho, ¿verdad?.
Las cosas se entienden mejor con preguntas: El Responsable de tratamiento suele ser la respuesta a las siguientes preguntas:
¿Quién ha decidido…
…para qué se van a tratar los datos?
… el perímetro exacto del tratamiento?
…durante cuánto tiempo?
…bajo qué medidas de seguridad?
¿A quién beneficia el tratamiento?
¿Quién lo inició?
¿Por qué demonios se están tratando estos datos?
Si, puedes acabar siendo responsable sin -en teoría- comerlo ni beberlo
El Grupo de Trabajo del art 29 y el TJUE nos han ampliado información sobre la figura con alguna memorable sentencia. De ellas podemos extraer conclusiones como las siguientes:
Para ser responsable del tratamiento:
- No hace falta siquiera tener acceso a los datos personales (p. Ej: la Iglesia de los Testigos de Jehová en Finlandia, o FashionId en Alemania, fueron declarados responsables de tratamientos sobre datos a los que no tenían acceso directo, porque los tratamientos se producían en su favor, y también porque recibían estadísticas anónimas extraídas de aquellos datos, en el último caso. Pero volveremos sobre FashionId más adelante.
- No es necesario determinar conjuntamente la finalidad Y los medios, basta uno solo de los factores.
- No es necesario decidir en detalle todas las circunstancias de los medios del tratamiento (cosa que se puede perfectamente delegar -y de hecho se delega- en el Encargado de tratamiento), basta con decidir sus elementos esenciales.
El Grupo del artículo 29 aclaró en su Opinion 1/2010 que el Responsable debe determinar los llamados “elementos esenciales de los medios del tratamiento”, pudiendo dejar el resto en manos del encargado del tratamiento contratado a tal efecto.
Como tales elementos esenciales se refirió a los siguientes: el tipo de datos que deben tratarse, el período durante el cual se conservará, quiénes tendrán acceso a los datos o quiénes serán los destinatarios de los datos.
2. El Encargado de tratamiento
El problema con la figura del Encargado es que parece que está chupada peeeero:
- en algunos casos no es tan fácil distinguirla del Responsable, y por otro,
- la figura tiene aparentes contradicciones.
Por ejemplo, que todos los Encargados son, al mismo tiempo Responsables de algunos datos personales de, valga la redundancia, sus Responsables.
La esencia del Encargado es que trata datos en nombre y por cuenta del Responsable. O de varios Responsables, como veremos.
El Encargado de tratamiento actúa en interés del Responsable y de acuerdo con la finalidad, perímetro e instrucciones determinadas por el Responsable.
Sin embargo, el Encargado no está totalmente supeditado al Responsable: tiene su ámbito de autonomía (y por tanto, lógicamente, de responsabilidad) en la decisión e implementación del cómo lograr los objetivos e instrucciones del Responsable.
Y aquí se da una interesante fauna entre la que podemos distinguir varias castizas figuras:
El Encargado cuñao
El “Encargao cuñao” que sigue todas las instrucciones del Responsable, pero que cuando le preguntas por sus medidas de seguridad, evaluación de riesgos o similares, no sabe, no contesta. O contesta que sí, que las tiene todas, pero no te dice cuáles son, ni es capaz de acreditarlas.
Y este es el riesgo después del RGPD: ya no se trata tanto de tener firmado el modelito de contrato de encargado de tratamiento. Con el subrayado en la responsabilidad del Responsable en la elección de un Encargado capaz de gestionar con garantías tratos ajenos, el trabajo hay que hacerlo antes de firmar el contratito.
El Encargado Titanic
El “Encargado Titanic” que, dado su tamaño y prestigio se le supone que hace las cosas bien, que es insumergible, que nada malo puede pasar con ese peasocachoo de hielo que pulula por ahí…. Y por eso él te impone él a ti, Responsable, su contrato de encargo, sus medidas de seguridad, etc… y en definitiva, su tratamiento.
O –AY!- subcontrata lo que le da la gana y -URGK!- con quien le da la gana. Habitualmente con barquitos pequeñitos que, en prestaciones y precio, tienen muy pero muy poco que ver con el transatlántico inicialmente contratado.
Y a ti, pobriño Leo DiCaprio sólo te queda confiar en que todo vaya bien y que la película termine en empujones románticos y no de los otros, de esos que te envían directamente al fondo del mar matarile-rile-rile.
Pero los Encargados tienen algun cosa más, veamos.
Caso práctico 1: (Skinner y Otto): Todos los encargados son Responsables de parte de los datos de sus Responsables.
Sé que suena a los Hermanos Marx, y parece una tontada, pero me voy a detener dos minutos en este tema, porque -por alguna razón- la peña se lía.
Todo se vé más claro –espero- con un ejemplo de los Simpson:
Seymour Skinner, director del Colegio de primaria de Springfield contrata a una empresa de transporte urbano, “Otto Mobility Inc”, para que un conductor, erm, cualificado, Otto, conduzca a los niños al colegio todos los días.
Otto Mobility es, obviamente, Encargada del tratamiento de los datos de los alumnos transportados.
Pero a efectos de gestión del servicio y facturación trata los datos de Skinner como contacto del Colegio, y lo hace como Responsable. Y eso no cuestiona en absoluto su condición de Encargado en todo lo demás.
Para la gestión del transporte, Otto Mobility necesita acceder a los datos de los alumnos. Como Encargado. Peeero si tiene algún problema contractual con el Colegio (y Skinner no quiere pagar el servicio, por ejemplo), seguramente tenga interés legítimo en reclamar la cantidad pendiente de pago en los tribunales, aportando como prueba los datos de esos alumnos que efectivamente transportó.
Y ese tratamiento Otto Mobility lo será a título de Responsable, y eso tampoco cuestiona en absoluto su condición de Encargado a los demás efectos.
Simplemente las cosas son como son.
Desde otro punto de vista, si Otto quiere invitar a los alumnos a uno de sus conciertos infantiles de guitarra eléctrica, no podrá utilizar los datos de alumnos ni los de sus padres o tutores que gestione, porque la finalidad de su tratamiento está tasada por el Colegio Responsable, y limitada a la ejecución del contrato de transporte. Nada más que eso.
Como digo, puede que parezca un tema muy básico, pero me he molestado en hacer un cuadrito resumen porque cada cierto tiempo, me encuentro con la misma confusión.
Más cosas:
El Encargado que se salta a la torera las instrucciones del Responsable y reutiliza esos datos del Responsable para sus propias finalidades
Este Encargado se erige en Responsable (Irresponsable, más bien) de su propio tratamiento. Y de su propio incumplimiento, claro.
Y esto se da cuando (i) el jeta es el Encargado como entidad u organización (Otto Mobility que vende los datos de los alumnos a, no sé, Toys´R´Us), como cuando (ii) lo es el empleado (Otto al invitar a su concierto) que no siguen las instrucciones de su organización, como cuando (iii) los empleados levantiscos lo son de un Responsable (art. 29 RGPD).
El Encargado que no sigue estrictamente las instrucciones del Responsable y comunica datos, pero lo hace en cumplimiento de obligaciones legales (art. 28.3.a) y 29 del RGPD).
El ejemplo más extremo de esto, y por eso, el más transparente, es la obligación que impone la normativa de prevención de blanqueo de capitales de denunciar al SEPBLANC -autoridad competente- a tu cliente o aspirante a cliente, cuando te propone que le asesores una marranada mercantil o fiscal de las prohibidas por la ley.
Esa obligación te incumbe a ti, abogado, asesor fiscal, notario, por ejemplo, respecto de los datos personales que captas en la fase precontractual (más te vale no cerrar el contrato con ese cliente, chaval). Tu denuncia debe incluir la identidad del proponente y de sus compinches.
Y todo, sin advertirles, por supuesto.
Sin entrar en este momento en si el abogado o asesor fiscal son Responsables o Encargados, que daría para un post de por sí, y asumiendo que sea un Encargado por estar totalmente supeditado a un “cliente único” que funcione como Responsable, lógicamente esta delación implicará una comunicación de datos, no sólo no incluida en las instrucciones del Responsable, sino no informada y evidentemente contraria a sus intereses.
Responsabilidad del Encargado y del Responsable de Tratamiento
Desde el RGPD, se ha establecido claramente una responsabilidad solidaria entre Responsable y Encargado frente a terceros, por incumplimientos del propio Encargado de sus obligaciones legales -o contractuales con el Responsable-.
Es decir, si se produce una brecha de seguridad en el entorno del Encargado por falta de implementación por este de las medidas de seguridad apropiadas, el Encargado será solidariamente responsable junto con el Responsable frente a terceros afectados por el incumplimiento.
Como en toda relación de responsabilidad solidaria, ya luego viene la exigencia de responsabilidades entre el que haya apoquinado y el que haya incumplido, pero quédense con esto.
En contra de lo que dice el refrán, en la práctica no se da eso de que “el que jode, paga”: las demandas vuelan siempre rumbo al trasero del implicado en apariencia más solvente (erm, normalmente el del Responsable), y cuando toca depurar quién la lió de verdad, algo que sucede bastante más tarde, éste no paga, simplemente porque no existe, concursó porque ya no tiene o nunca tuvo.
3.- Corresponsabilidad
Esta figura recogida en el artículo 26 del RGPD regula la situación en la que varias organizaciones determinan conjuntamente -de forma potencial o efectiva- las finalidades y medios de un tratamiento de datos.
Poco utilizada antes de la entrada en vigor del RGPD, esta figura está cobrando mayor popularidad y relevancia al ser identificada y aplicada en distintos pronunciamientos jurisprudenciales recientes a los que haremos referencia, y otros informes oficiales. Pero las dudas y vacilaciones son patentes en la práctica.
¿De qué hablamos cuando hablamos de determinación conjunta de finalidades y medios?
El primer elemento clave para determinar la existencia de corresponsabilidad es la determinación conjunta entre varias organizaciones de los fines y medios del tratamiento de datos personales.
Es importante matizar que:
- Esa determinación no tiene por qué ser “efectiva”. Según el EDPS, la mera formalización del acuerdo en el que las partes consensúan la finalidad y elementos esenciales de los medios para llevar a cabo una operación de tratamiento, en sí misma, es suficiente para desencadenar una operación de corresponsabilidad en el tratamiento.
La mera existencia de un nivel general de complementariedad y unidad de propósito entre los responsables justifica la existencia de corresponsabilidad.
Sólo es necesario que cada corresponsable del tratamiento tenga la posibilidad o el derecho de determinar la finalidad y los elementos esenciales de los medios del tratamiento.
- Para ser corresponsable no es imprescindible tener acceso a los datos personales tratados.
- Tampoco es necesario que todos los corresponsables ejecuten todas las operaciones en que se desglose el tratamiento en cada caso.
En la práctica puede ocurrir –y de hecho es frecuente- que varios corresponsables interactúen en diversas operaciones del tratamiento, sin que los medios y fines de cada una sean los mismos para todos ellos.
Todo esto no me lo saco de la manga: resulta de varios pronunciamientos del Tribunal de Justicia de la UE ya citados: Resolución C‑25/17 Jehovan todistajat y Resolución C-40/17 Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW Ev (Fashion ID).
El Caso FashionId
Fashion ID es una empresa que vende ropa a través de internet.
Fashion ID, como casi todo hijo de vecino insertaba en su web el botoncito de “me gusta” para permitir que los clientes o potenciales clientes, compartieran en Facebook aquellos artículos que compraban o simplemente les llamaban la atención.
Pero hete aquí que, ¡Oh, chorprecha! El botoncito “me gusta” de Facebook es bastante más puñetero que lo que su pacífica apariencia indica: tiene la capacidad diabólica de identificar a los usuarios de Facebook, aunque no estén en ese momento logueados en la popular red social.
Peor aún, Zucker-berg es capaz de trackearte (perseguirte, vamos) también a ti, que defiendes tu privacidad y que no tienes cuenta en Facebook porque sabes de qué va realmente esa empresa. Facebook también podrá saber de qué web venías y hacia dónde te fuiste, después de visitar la web Fashion ID a través de su artefacto.
EL TJUE vino a decir en su sentencia que:
- Fashion ID indudablemente se beneficia de la promoción de sus productos que el ínclito botoncito de Facebook puede proporcionar, y
- Que, al hacerlo, posibilitaba que la nefasta empresa de Zucker-berg trincara datos personales de propios y extraños, que luego devolvía de forma parcial y anonimizada a Fashion ID (estadísticas de visitas).
- En consecuencia, Fashion ID es corresponsable en la recogida de los datos que facilita a Facebook, y está obligada a suministrar al menos la información legal obligatoria sobre el tratamiento de Facebook (aunque notoriamente no participe en él) y la información mínima sobre la propia relación de corresponsabilidad, del art. 26 RGPD.
- Y esto le toca hacerlo a Fashion ID porque es la entidad que tiene contacto directo con el interesado.
Alcance de la corresponsabilidad frente a terceros
Es muy relevante clarificar que, pese al sentido del concepto jurídico “corresponsabilidad” en la tradición española, los Corresponsables responden, no sobre el conjunto de los tratamientos en que consista el proyecto conjunto, sino respecto de las operaciones de tratamiento que efectivamente realiza cada uno.
Por eso el considerando 50 del RGPD destaca que se debe establecer una asignación clara de las responsabilidades de cada uno de los corresponsables en relación con el interesado.
Y los corresponsables que sí hayan concurrido en la concreta actividad de tratamiento que haya causado el daño (como decimos, el que no haya intervenido, no tendrá responsabilidad –art 82.2 Reglamento General de Protección de Datos-), sí tendrán una clara responsabilidad solidaria frente a los interesados afectados.
Por ello, si se quiere evitar (o acortar el iter de reclamaciones de responsabilidad solidaria) se aconseja clarificar desde el minuto uno, entre los propios partícipes y frente a los interesados, la intervención de cada cual en las distintas operaciones de tratamiento.
¿Dónde? En el contrato de corresponsabilidad…
¿Cómo demonios se prepara un contrato de corresponsabilidad ?
Los corresponsables deben formalizar un contrato específico en el que se establezcan sus funciones y responsabilidades entre sí y, en particular, con respecto a los interesados.
Además, el artículo 26 del RGPD impone la puesta a disposición de los interesados de una cierta información mínima: ejercicio de sus derechos, cumplimiento del deber de información y posibilidad de designar un punto de contacto único para dicho ejercicio de derechos.
Ya hemos dicho que el Considerando 50 aconseja clarificar las responsabilidades entre corresponsables. Desde mi punto de vista, esto es lo más importante.
En general a ninguna empresa le va a gustar firmar un documento encabezado con la etiquetita de “Acuerdo de Corresponsabilidad” o similar.
Pero las cosas son lo que son, y no lo que las partes dicen que son.
Desde este punto de vista, el mejor consejo que se puede dar a cualquiera de los implicados es coger el toro por los cuernos.
Si eres responsable de tratamiento, no vas a ganar nada haciéndote pasar por “Encargado” en un acuerdo. Más aún, habrás perdido la oportunidad de delimitar responsabilidades con tu compañero de viaje: será la autoridad la que lo haga por ti mañana, en su caso. ¡¡Suerte!!
Por eso, en lugar de invertir esfuerzos en evitar que se te etiquete como “Responsable” (que si lo eres, lo vas a ser, te denomines como te denomines sobre el papel), lo mejor es plasmar honesta y fidedignamente en el papel qué vas a hacer tú, y qué va a hacer tu corresponsable, de modo que si las cosas se tuercen, ese contrato sirva para algo y pueda permitir deslindar responsabilidades entre las Partes y frente a terceros.
La virtud del consejo es que si te conduces honesta y fidedignamente reflejando tu ámbito de actuación, la otra parte no podrá cuestionar tu documentación sin ponerse ella misma en evidencia. Con la verdad se llega a cualquier sitio, amics.
Por eso, en la práctica es muy aconsejable incorporar un “Mini-registro de Actividades de Tratamiento” específico que describa las distintas actividades de tratamiento, la intervención de cada una de las partes en las mismas, y la consiguiente responsabilidad de cada una.
Otros elementos que se recomienda integrar en el contrato o acuerdo de corresponsabilidad
Además del mínimo que marca el RGPD en su artículo 26, y en atención al resto de principios y elementos del propio RGPD, entre otros, los siguientes puntos importantes a incluir en el mismo:
- Responsabilidades, funciones y relaciones respectivas de las partes.
- Descripción de las operaciones de tratamiento, haciendo hincapié en la necesidad de atenerse a la limitación del tratamiento por cada parte a la/s finalidad/es acordada/s.
- Delimitación de responsabilidades en relación con y punto de contacto frente al interesado.
- Obligaciones respectivas de cada parte en relación con el suministro a los interesados de la información prevista en los artículos 13 y 14 del RGPD, incluyendo los aspectos relevantes del propio contrato.
- Categorías de datos personales y de interesados afectados por el tratamiento.
- Responsabilidades en materia de seguridad de la información, incluida la notificación de brechas de seguridad, marcando un plazo máximo para comunicarse entre las partes el incidente ocurrido y para consensuar y realizar en su caso la comunicación a la Agencia Española de Protección de Datos y a los interesados.
- Cooperación entre los corresponsables del tratamiento para responder a las solicitudes de los interesados y en lo que respecta al ejercicio de otros derechos de los interesados.
- Cooperación y coordinación sobre la realización de las evaluaciones de impacto (DPIA) que fuera necesarias.
- Coordinación e información recíproca en relación con la contratación (individual o conjunta, según corresponda) de encargados del tratamiento.
Caso práctico 2 de corresponsabilidad: Hospital y Promotor en Ensayos clínicos.
La aplicación del Reglamento General de Protección de Datos ha traído consigo cambios de enfoque importantes en esta materia como:
- Los datos “disociados” sí son datos personales: son datos pseudoanonimizados, en vez de anónimos. En consecuencia, se clarifica la aplicación a los datos codificados en ensayos clínicos de la normativa de protección de datos personales.
- La aplicación de la figura de la corresponsabilidad, concepto que ya existía en la Directiva del 95, pero que ahora se ha regulado más detalladamente en el Reglamento y cuya aplicación se promueve desde las entidades de cumplimiento e instituciones europeas para clarificar responsabilidades entre los responsables entre sí, y principalmente, frente al titular de los datos tratados.
Estas “novedades” (que no lo eran tanto) han provocado una interpretación fragmentada en la interpretación de los roles que deben asumir Centro y Promotor en los contratos tipo relacionados con ensayos clínicos utilizados en las distintas Comunidades Autónomas en España. Quizá la única nota común a todas ellas sea la reticencia a aceptar lo evidente: el régimen de corresponsabilidad.
La figura que mejor se adapta a los Ensayos Clínicos es la de corresponsabilidad: dos entidades que determinan conjuntamente las finalidades y medios de un haz de tratamientos de datos personales, pero realizando cada una sus propias operaciones de tratamiento, y por tanto responsabilizándose efectiva y exclusivamente de su concreto ámbito de actuación.
¿Los Centros Hopitalarios son corresponsables? ¿son Encargados?
Aplicándome -nunca mejor dicho- mi propia medicina, me planteo las preguntas que me hacía al principio del post:
¿Quién ha decidido…
…para qué se van a tratar los datos?
… el perímetro exacto del tratamiento?
…durante cuánto tiempo?
…bajo qué medidas de seguridad?
¿A quién beneficia el tratamiento? ¿Quién lo inició? ¿Por qué demonios se están tratando estos datos? ¿Quién lo dijo?
Hay distintos tipos de Ensayos y cada pregunta puede tener distintas respuestas. Lo que resulta evidente es que un Ensayo parte de un Centro que abre sus puertas a un Promotor, poniendo encima de la mesa un Investigador o un equipo de investigadores, y un conjunto de pacientes que resulten candidatos viables conforme a dichos protocolos.
Pero los datos de los pacientes, las historias clínicas, son siempre del Centro. Así que el Centro será Responsable. Punto.
Sí amigos, sí: corresponsabilidad
Y el Promotor también, por mucho que en ningún caso deba poder acceder a la concreta identidad de los pacientes sujetos al ensayo: sólo a los datos codificados.
De acuerdo con este argumento, resultaría insólito en la práctica un ensayo clínico realizado por un Promotor por sus propios medios, sin la colaboración de un Centro hospitalario.
Elocuentemente, lo contrario sí es posible (art. 39.6 RD 1090/2015: “El promotor y el investigador pueden ser la misma persona”).
Recordemos también que la esencia del Encargado de tratamiento es actuar en nombre del responsable y en su exclusivo interés, elementos ambos que difícilmente concurren en los investigadores del Centro Hospitalario, o del propio Centro, en un Ensayo Clínico.
Y recordamos aquí lo dicho en general para la regulación de cualquier relación de corresponsabilidad: el acuerdo en el que se coja el rábano por las hojas, en vez de tratar de delimitar bien y fielmente los respectivos ámbitos de actuación (operación por operación de tratamiento) al final del día no será nada más que una oportunidad perdida.
Y ello porque la responsabilidad de los corresponsables frente a terceros no es solidaria en relación con el proyecto en conjunto, sino limitada a las operaciones de tratamiento en las que efectivamente participen (respecto de esas, sí será solidaria si son varios corresponsables).
Y bueno, este planteamiento no es mío, es unánime en las autoridades de cumplimiento: veamos:
a.- Comisión Europea
La Comisión Europea, en su documento de preguntas frecuentes sobre la interrelación entre el Reglamento de Ensayos Clínicos y el RGPD, no plantea expresamente la corresponsabilidad, pero afirma con toda naturalidad la condición de Responsables, tanto del Promotor, como del Centro al que esté vinculado el Investigador.
Este documento, de hecho, explica claramente cómo Promotor y Centro pueden acudir a distintas bases legales (consentimiento, obligación legal, interés público, interés legítimo) para legitimar sus respectivos tratamientos de datos (es en su condición de tales responsables, en la que deben determinar la base legal que mejor corresponda a sus tratamientos: los Encargados no determinan nada, a estos efectos).
La obligación legal ampara los tratamientos no relacionados con actividades de investigación propiamente dichas, sino en relación con el cumplimiento de obligaciones formales y procedimentales (notificación de acontecimientos adversos, archivo de historias clínicas, cesión a autoridades a efectos de inspección, por ejemplo).
Estas obligaciones incumben respectivamente a Centro y promotor y les erigen indiscutiblemente en responsables de dichos tratamientos de datos personales.
Y como tales responsables, por tanto, deben determinar la base legal que mejor corresponda a sus tratamientos.
b.- Comité Europeo de Protección de Datos
El Comité Europeo de Protección de Datos, en su Opinión sobre el nuevo Reglamento de Ensayos Clínicos (en respuesta al documento de la Comisión mencionado antes) no habla específicamente de corresponsabilidad, pero sí se refiere en plural e indistintamente como Responsables de tratamiento a Centro y Promotor:
Más aún, el Comité abre la puerta a que tanto el Promotor como el Investigador (su Centro, por tanto) se beneficien de la “presunción de compatibilidad de tratamientos secundarios” prevista en el art. 5.1.b) RGPD en beneficio de, entre otros, la investigación científica.
Es evidente que ni el Centro ni el Investigador podrían realizar tratamiento secundario de datos alguno si interviniera en un ensayo clínico como “encargado de tratamiento” del Promotor.
c.- Grupo de Trabajo del art. 29
Pero es que el EDPB en su antigua encarnación como Grupo de Trabajo del art. 29 ya explicaba allá por 2010, la figura de la corresponsabilidad… precisamente poniendo como ejemplo el supuesto de un Ensayo Clínico.
En su Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» se incluía el siguiente cuadro (pg. 34).
No es de extrañar que la Agencia de Protección de Datos Catalana haya seguido el ejemplo.
d.- Agencia de Protección de Datos Catalana
La APDCAT califica con total naturalidad como corresponsables al Centro y al Promotor en un supuesto análogo.
Esta entidad ha dictaminado que el Centro hospitalario “es, de acuerdo con la normativa sectorial aplicable (Ley 21/2000 y Ley 41/2002), el responsable de los datos tratados en la historia clínica de los pacientes que atiende, incluidos aquellos que, a través de la prestación de su consentimiento, deciden participar en un ensayo clínico”.
Esta calificación le lleva a señalar que el propio Centro debe suscribir un contrato de encargado de tratamiento con el Monitor, en la medida en que éste accederá a los datos de las Historias Clínicas de los sujetos (datos bajo la exclusiva responsabilidad del Centro y a los que el Promotor nunca puede tener acceso).
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de protección de datos