Con motivo de la aplicación obligatoria del Reglamento (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante “RGPD”) se están produciendo fenómenos masivos, como por ejemplo, la avalancha de correos electrónicos demandando la renovación del consentimiento explícito para el envío de promociones de marketing. Otro de los fenómenos al que estamos acudiendo las empresas y los abogados especialistas en la ley de protección de datos personales, es al del importante volumen de contratos o anexos para la adecuación de los denominados contratos de encargado del tratamiento. Pero no siempre en una relación entre empresas, es tan claro cuál de ellas es la que tiene la condición de responsable del tratamiento y cuál es la encargada del mismo, pudiendo existir “zonas grises” que dan lugar a la discrepancia entre las organizaciones.
Por ello, en este artículo, como abogados especialistas en protección de datos personales empresas, vamos a tratar sobre estas dos figuras jurídicas de la normativa de protección de datos de carácter personal.
Debe señalarse, en primer lugar que el RGPD establece, con respecto a la regulación anterior, importantes novedades en cuanto a las reglas que deben regir la relación entre el responsable del tratamiento y el encargado del tratamiento, determinando una serie de requisitos anteriormente no existentes o que, al menos, que no se exigían de forma expresa por la ley. Esto ha dado lugar a la necesidad de adaptar las cláusulas y contratos a dichos requisitos.
Aunque en España, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, prevé en su Disposición Transitoria Quinta que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha, o hasta que se prorrogase el vencimiento, ya fuera por mutuo acuerdo entre las partes o por acuerdo tácito, dicho Proyecto de Ley no ha sido aún aprobado, sin que por tanto, tenga vigencia como se había pretendido, desde el mismo momento de la aplicación obligatoria del RGPD.
El efecto que esto ha producido es que los contratos de encargado del tratamiento deben estar adaptados desde el 25 de mayo de 2018, fecha en que es de aplicación obligatoria el RGPD. De ahí que esté teniendo lugar una importante circulación de documentos legales entre las empresas para dar cumplimiento a las obligaciones del RGPD en este particular.
A estas alturas y, como parte del ejercicio de adecuación al RGPD, la mayoría de las empresas tienen ya establecido algún texto a modo de modelo para enviar a sus proveedores prestadores de servicios que se considera funcionan como encargados del tratamiento. Y es aquí donde se producen a veces posturas encontradas porque en algunos casos, considera el destinario que no es procedente suscribir un contrato de este tipo, por no tener éste la condición de encargado del tratamiento, sino la de responsable.
La distinción entre ambas figuras, como veremos, resulta esencial por cuanto que las obligaciones para las mimas, así como la responsabilidad, no son iguales. Ciertamente, el RGPD ha venido a imponer mayores requerimientos y reglas para al encargado del tratamiento, pero con todo y con eso, el rol de cada una de estas instituciones es diferente y en base a la regulación de la relación entre ellas, se articula el fin primordial de la seguridad de los datos personales. Así tenemos que, las normas sobre los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de los datos personales), están dirigidas fundamentalmente el responsable del tratamiento, creando para él obligaciones. Y lo mismo ocurre con las disposiciones sobre información y obtención del consentimiento, siendo principal responsable de cualquier daño resultante de un tratamiento ilegal.
El responsable del tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, si una entidad decide «por qué» y «cómo» deberán tratarse los datos personales, dicha entidad deberá entenderse es el responsable del tratamiento. El encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento; debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.
El encargado del tratamiento de los datos suele ser un tercero externo a la empresa; sin embargo, en el caso de los grupos de empresas, una de ellas puede actuar como encargada del tratamiento para otra.
El encargado del tratamiento puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado pero ningún caso puede variar las finalidades y los usos de los datos ni los puede utilizar para sus propias finalidades. Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento. Existen situaciones en las que una entidad puede ser responsable o encargado del tratamiento, o ambas cosas.
El artículo 4, 7) del RGPD define al “responsable del tratamiento” como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.”
A su vez, el mismo artículo en su aparado 8) define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.”
Pese a la aparente sencillez de las definiciones, ocurre en la práctica que no es tan fácil deslindar ambas figuras. Y esto es así desde la derogada Directiva 95/46/CE. Baste recordar el Dictamen 1/2010 del Grupo de Trabajo del Art. 29 de 16 de febrero de 2010; ya se decía, por este órgano consultivo europeo en el citado Dictamen que reconocía “las dificultades para aplicar las definiciones en un entorno complejo, donde se pueden prever muchos escenarios que involucran responsable y encargados, solos o en conjunto, con diferentes grados de autonomía y responsabilidad”. También se nos hablaba de la existencia de “indicios de falta de claridad, al menos en cuanto a ciertos aspectos de estos conceptos y algunas opiniones divergentes entre los profesionales de diferentes Estados miembros que puede dar lugar a interpretaciones diferentes de los mismos principios y definiciones”, para terminar señalando que “la aplicación concreta de los conceptos de responsable y encargado del tratamiento de datos personales se vuelve cada vez más compleja, debido principalmente a la complejidad creciente, tanto en el sector privado como en el público, hacia diferenciación organizacional, en combinación con el desarrollo de las TIC y globalización, de una manera que puede dar lugar a problemas nuevos y difíciles que a veces da como resultado un nivel más bajo de protección otorgado a los sujetos de datos”.
Dentro de la definición de responsable del tratamiento, cabría distinguir tres partes a analizar.
1º.- Primer elemento: “persona física o jurídica, autoridad pública, servicio u otro organismo…”
Como se puede apreciar, el elemento personal en la definición, puede ser muy amplio; va desde la persona física, pasando por las personas jurídicas, las autoridades públicas, hasta servicio u otro organismo. Como ha indicado el Grupo de Trabajo del Art. 29 en el antes referido Dictamen, a fin de dar una referencia más estable y fiable para la protección de los datos personales y el ejercicio de los derechos, “debe darse preferencia a considerar como responsable a la empresa o el organismo en lugar de una persona específica dentro de la empresa. Es la empresa o el organismo el que se deberá considerar como responsable último de los datos y las obligaciones derivadas de la legislación de protección de datos, a menos que existan elementos claros que indique que una persona física será responsable. En general, debería suponer que una empresa u organismo público son responsables como tales de las actividades de tratamiento que tienen lugar dentro de su ámbito de actividades y riesgos.”
Resumiendo, se puede concluir que el responsable de los datos es siempre la organización. Si una persona física trabaja en una empresa o en un organismo público, dicha persona físicas solo será responsable si utiliza los datos personales para sus propios fines y no para los de la empresa u organismo.
2º.- Segundo elemento: “solo o conjuntamente con otros…”
Puede ocurrir que el encargado del tratamiento no sea único para dicho tratamiento. Pueden darse casos en los que son múltiples actores los que interactúan en el tratamiento de la información personal.
De hecho, cada vez son más los casos. Varias partes pueden determinar conjuntamente las finalidades y los medios de tratamiento que se van a llevar a cabo.
Incluso hay más supuestos de corresponsabilidad de encargados, no solo el que se ha mencionado, pudiendo existir otras combinaciones de control pluralista; es el caso de que múltiples actividades constituyan un tratamiento y una entidad realice una o varias de las actividades y otra u otras, realice otra o varias de las actividades que constituyen el tratamiento. Sin embargo, el mero hecho de que diferentes agentes cooperen en el tratamiento de datos personales, como por ejemplo, en una cadena, no implica necesariamente sean corresponsables; si no se comparten propósitos y medios, solo habrá una cesión de datos entre responsables del tratamiento, pero no una corresponsabilidad.
Los corresponsables del tratamiento deben concertar un acuerdo en el que se establezcan sus respectivas responsabilidades de cumplimiento con las normas del Reglamento general de protección de datos. Los principales aspectos del acuerdo deberán comunicarse a las personas sobre cuyos datos se realice el tratamiento (Art. 26 RGPD).
3º.- Tercer elemento: “determina los fines y medios del tratamiento…”
¿Con qué nivel de detalle debe alguien determinar los fines y medios del tratamiento para ser considerado como responsable?.
Determinar los fines y los medios del tratamiento significa, no solo establecer las formas técnicas del tratamiento de datos personales, sino que se refiere también y esencialmente al “cómo”, que incluye preguntas como “qué datos deberán tratarse”, “qué terceros tendrán acceso a esos datos”, “cuándo los datos serán eliminados”, etc. Se entiende, sin embargo, que la determinación de los medios puede ser delegada en el encargado del tratamiento.
Por otro lado, hay que tener en cuenta que la condición de responsable del tratamiento puede venir por una atribución específica hecha por la ley. La atribución de la condición de responsable del tratamiento, debe derivar de un análisis de los elementos de hecho o circunstancias del caso. En el caso de que sea la ley la que establezca la condición de responsable obedece a la necesidad de garantizar la previsibilidad con respecto al control, de modo que se establecen presunciones prácticas para guiar y simplificar la aplicación de la ley de protección de datos.
Como ejemplos de esta atribución por ley de la condición de responsable del tratamiento, podemos citar, entre otros:
- Cuando sea de aplicación el texto Refundido de la Ley de Contratos del Sector Público, aprobado por el Real Decreto Legislativo 3/2011, de 14 de noviembre, debe tenerse en cuenta que dicha ley prevé (disposición adicional 26ª) que, cuando la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento. (En este caso, a sensu contrario, será responsable del tratamiento la entidad contratante).
- La Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados en su Artículo 62, establece la condición que cada una de las categorías de mediadores ostenta con respecto a la entidad aseguradora.
Es muy importante tener en cuenta que la atribución de la condición de responsable y encargado del tratamiento es una cuestión de carácter imperativo o de disposición legal obligatoria, sin que quepa la posibilidad de las partes en un contrato puedan derogar o desviarse de la disposición legal.
Por lo que respecta al encargado del tratamiento, los elementos que conforman la definición son:
- Se trata de una entidad jurídica (persona física, jurídica, autoridad pública, servicio u otro organismo) separado con respecto del encargado del tratamiento. En cuanto al elemento personal, es decir, quien pueda serlo, nos remitimos a la explicación dada con respecto al responsable del tratamiento.
Dicha entidad jurídica debe entenderse separado del responsable del tratamiento.
- Lleva a cabo tareas de tratamiento de datos personales, por cuenta y en nombre del responsable del tratamiento. Esta actividad de tratamiento puede estar limitada a una tarea específica o limitada, pero también puede ser más general y extendida.
También cabe la existencia de una pluralidad de encargados del tratamiento, pudiendo éstos tener una relación directa con el responsable del tratamiento o ser subencargados a los que el encargado ha delegado parte de la actividad de tratamiento a él confiada.
Estas serían las notas distintivas de una y otra figura, responsable y encargado del tratamiento. En Belzuz Abogados, como abogados especialistas en RGPD, estamos a su disposición para el asesoramiento de las empresas de cara a construir de una manera adecuada y acorde a la normativa sobre protección de datos de carácter persona, las relaciones entre aquéllas y ofreciendo nuestra ayuda para evitar preventivamente infracciones que den lugar a detrimentos de imagen y económicos.
Commercial and Corporate Law department | Madrid (Spain)
Belzuz Abogados SLP
This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.