Uno de los debates más interesantes en el ámbito de la protección de datos gira en torno a si el encargado del tratamiento (processor) debe considerarse o no un «destinatario» de datos personales. 🧐
📌 ¿Qué dicen las normas?
✔ Según el EDPB (UE):
Las Directrices 07/2020 y la Opinión 22/2024 indican que SÍ, el encargado del tratamiento es un destinatario de datos cuando los recibe del responsable (controller). Esto implica que, en la información al interesado (art. 13 RGPD), debería mencionarse como tal.
❌ Según la LOPDyGDD (España):
El art. 33.1 establece que el acceso a datos por parte del encargado no se considera «comunicación», por lo que técnicamente NO sería un destinatario.
⚖ ¿Y esto por qué importa?
La diferencia tiene consecuencias en:
🔸 Transparencia (¿debe informarse al usuario sobre los encargados como «destinatarios»?).
🔸 Obligaciones legales (¿afecta a las transferencias internacionales o a las evaluaciones de riesgo?).
🎯 Conclusión práctica
Aunque la LOPDyGDD española parece relajar el concepto, el RGPD (y el EDPB) mantienen una postura más estricta. Por buenas prácticas y transparencia, lo más seguro es:
✅ Incluir a los encargados en la lista de «destinatarios» en las cláusulas informativas (art. 13).
✅ Documentar debidamente los acuerdos de encargado (art. 28) para evitar riesgos.
💡 ¿Vosotros cómo lo hacéis? ¿Consideráis a los encargados como destinatarios en vuestras políticas de privacidad? ¡Dejad vuestra opinión en los comentarios! 👇
#ProtecciónDeDatos #RGPD #LOPDyGDD #Privacidad #Compliance #LegalTech