El pasado 10 de octubre, el Comité Europeo de Protección de Datos (CEPD), publicó la “Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority.”, siendo accesible en inglés a través de este enlace.
En concreto, la guía supone una actualización de los apartados 29 a 34 y de los puntos ii. y iii) del apartado 2.d. del anexo (marcados en amarillo en el documento). Ha de destacar que la nueva versión de la guía se encuentra en fase de consulta pública hasta el 2 de diciembre de 2022. En concreto las modificaciones, se refieren a aquellos casos en los que existe corresponsabilidad.
Para el CEPD, la autoridad de control no está vinculada por los términos del acuerdo entre los dos corresponsales, no existiendo entre ellos la posibilidad de pactar el establecimiento principal entre las partes.
En palabras del CEPD, “el concepto de establecimiento principal está vinculado, en virtud del RGPD, a un único responsable del tratamiento y no puede a una situación de corresponsabilidad”. Para el CEPD, el establecimiento principal de un responsable del tratamiento, no puede considerarse el establecimiento principal de los corresponsables del tratamiento para el tratamiento realizado bajo su corresponsabilidad. Por ello, indica que los corresponsales “no pueden designar (entre los establecimientos donde se toman las decisiones sobre los fines y los medios del tratamiento) un establecimiento principal común establecimiento principal común para ambos corresponsables”.
Por ello, el CEPD propone que en caso de corresponsabilidad, se sigan los siguientes tres pasos a la hora de determinar cuál de considerarse la autoridad de control principal compete:
- Comprobar si los corresponsables están establecidos en el EEE.
- Identificar el lugar de administración central en el EEE para cada corresponsable respectivamente (si procede);
- La autoridad de control del país donde se encuentra el lugar de administración central será la autoridad de control principal de cada corresponsable.