¿Como debe considerarse una empresa que, teóricamente, no trata datos, o no tiene permiso para tratarlos ni para acceder a ellos (gestora de residuos, destrucción de documentos, etc.)?, como Encargado de tratamiento o simplemente como Prestador de servicios sin acceso a datos (limpieza, electricista, extintores, etc.).
Un tratamiento es cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, supresión o destrucción.
Un Responsable del tratamiento es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento.
Un Encargado de tratamiento es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del tratamiento.
Un Prestador de servicios sin acceso a datos personales es una persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, realice trabajos para el Responsable del tratamiento que no impliquen el tratamiento de datos personales.
Por lo que se describe en la definición de tratamiento, la destrucción de documentos corresponde a una operación realizada sobre datos personales. Si este servicio se realiza por cuenta de Responsable, la empresa en cuestión será un Encargado del tratamiento.
Cabe recordar que cualquier relación entre empresas o profesionales que comporte un tratamiento de datos personales (ver definición) debe formalizarse mediante un contrato donde se detallen todas las instrucciones y obligaciones legales del encargo.
En el caso de contratar empresas Prestadoras de servicios sin acceso a datos, se debe tener muy en cuenta la posibilidad que se pueda realizar un tratamiento de datos (ver definición). Es muy recomendable con este tipo de empresas, formalizar contratos que especifiquen expresamente la prohibición de acceder a datos personales y la obligación de confidencialidad para el personal que pueda acceder a ellos de manera accidental o fortuita.