Quan una empresa externa és ET o Destinatari de dades


Manuel Castilleja Toscano     19/03/2026


QUAN UNA EMPRESA EXTERNA ÉS ENCARREGAT DE TRACTAMENT O DESTINATARI DE DADES?

Moltes vegades resulta complicat diferenciar quan estem davant d'un encàrrec del tractament i quan davant d'una cessió o comunicació de dades personals a una altra entitat. I és una qüestió important a determinar, ateses les implicacions i obligacions legals en matèria de privadesa en cada cas. Per això, intentarem aclarir quan ens trobem davant d'una situació o una altra.

Segons el RGPD (art. 4.8 RGPD), l'encarregat de tractament (ET) és l'entitat que tracta dades personals per compte del responsable del tractament (RT). En principi i d'acord amb aquesta definició, totes les entitats contractades per un RT perquè els presti un servei per al qual necessitin tractar dades personals responsabilitat del RT, seguint les seves instruccions, serien ET, ja que totes fan el tractament per encàrrec i per compte del RT, i sense determinar els fins del tractament, és a dir sense decidir perquè es tracten les dades.

De la mateixa manera, l'art. 4.9 RGPD defineix els destinataris com aquella entitat a què se li comuniquin dades personals, es tracti o no d'un tercer.

Per tant, estarem davant d'un encàrrec del tractament quan l'entitat que ens presta un servei està tractant les dades personals pel nostre compte, sense decidir sobre les finalitats del tractament i seguint únicament les nostres instruccions (art. 28.3.a RGPD). En canvi, estarem davant d'una cessió de dades quan l'entitat que ens presta el servei tractarà les dades de què som responsables i us comuniquem, en base a alguna de les bases jurídiques de l'art. 6.1. RGPD, determinant per si mateixa els fins i els mitjans del tractament.

Per determinar si un prestador de serveis intervé com a encarregat del tractament (ET) o destinatari de dades (RT) podríem fer-nos diverses preguntes, per exemple:

  • Nosaltres determinem els fins i els mitjans del tractament, o els determina el prestador de serveis?
  • El prestador de serveis està obligat a seguir únicament les nostres instruccions?
  • Podem obligar-los a suprimir les dades o que ens les tornin i que no se'n quedin cap còpia?

Implicacions legals en cas d'una cessió de dades (de RT a RT)

RT cedent: l'entitat que cedeix o comunica les dades personals a un altre responsable.

El RGPD regula la comunicació de dades personals com un tractament de dades personals més (art. 4.2) i, perquè sigui lícita, cal comptar amb alguna de les bases jurídiques de l'art. 6.1, i no necessàriament ha de ser el consentiment, també pot ésser per obligació legal, execució de contracte, interès vital, públic o legítim.

I com per a qualsevol altre tractament, a més de comptar amb una base jurídica adequada, de manera prèvia també caldrà informar l'interessat (art. 13 RGPD) entre altres qüestions de les categories de destinataris a qui es preveu comunicar les dades.

RT cessionari: l’entitat destinatària que rep les dades personals d’un altre responsable.

El destinatari estarà obligat, com a nou RT de les dades rebudes, a informar del tractament l'interessat conforme a l'art. 14 RGPD (dades no obtingudes de l'interessat) i a comunicar-li aquesta informació:

  • en un termini màxim de 1 mes; o
  • al moment de la primera comunicació amb l'interessat; o
  • en el moment que es revelin les dades a un altre destinatari.

No serà obligatori fer aquesta comunicació quan:

  • l'interessat ja disposi de la informació; o
  • quan la comunicació sigui impossible o suposi un esforç desproporcionat (en aquest cas es podria publicar a la pàgina web corporativa); o
  • quan l'obtenció o la comunicació estigui expressament establerta per la legislació vigent; o
  • quan les dades personals hagin de continuar tenint caràcter confidencial sobre la base d’una obligació de secret professional regulada per la legislació vigent, inclosa una obligació de secret de naturalesa legal.

Tot i que el RGPD no regula la necessitat de subscriure un contracte de cessió de dades entre l'RT cedent i el RT cessionari, sí que és recomanable establir per escrit acords que contemplin les condicions sota les quals es produeix la cessió, especialment per al RT cessionari perquè ha de poder demostrar que ha obtingut les dades lícitament, ja que no se les ha facilitat.

Aquest acord hauria de contemplar, com a mínim:

  • que el RT cedent garanteix que les dades cedides s'han obtingut lícitament i que compta amb una base jurídica per comunicar-les al RT cessionari.
  • que el RT cessionari només tractarà les dades per a la fi de la cessió que s'ha informat a l'interessat i que no les destinarà a altres fins.

Casos específics de contractació de serveis que no impliquen un encàrrec de tractament:

A continuació, relacionem una sèrie de serveis que, encara que en principi contractar-los poguessin semblar un encàrrec del tractament, les entitats prestadores dels mateixos tracten les dades determinant per si mateixes els fins i mitjans del tractament, assumint per tant la condició de responsables i no encarregats del tractament:

VIGILÀNCIA DE LA SALUT: l'accés a la informació relativa a la salut de la persona treballadora es limita al personal mèdic i a les autoritats sanitàries que els presten el servei de vigilància de la salut, sense que es pugui facilitar a l'empresari/ària o a altres persones cap informació en aquest sentit, sense el consentiment exprés de l'interessat (Llei 31/1995, de 8 de novembre.

MÚTUA D'ACCIDENTS D’ACCIDENTS DE TREBALL I EEPP: intervindran en qualitat de RT respecte d'aquells tractaments de dades personals que efectuïn en l'exercici de les funcions que el Reial Decret Legislatiu 8/2015, de 30 d'octubre, pel qual s'aprova el text refós de les mateixes persones amb les professionals, la prestació econòmica per incapacitat temporal derivada de contingències comunes i la protecció per cessament d’activitat, ja que, en aquests supòsits, l’accés a les dades per part de les Mútues és necessari per les funcions que té atribuïdes legalment.

BANCS: segons criteris de l'AEPD, ens trobem davant d'una cessió de dades, atès que les dades transmeses seran incorporades als fitxers de l'entitat financera, que procedirà al tractament per a fins que els són propis, és a dir, la gestió de cobraments d'acord amb la pràctica habitual en les relacions comercials entre clients i entitats bancàries.

ASSEGURADORES, CRÈDIT I ??CAUCIÓ: l'entitat asseguradora realitza diversos tractaments amb les dades dels assegurats, decidint-ne l'ús i la finalitat en establir les condicions generals i particulars de la pòlissa i les adhesions individuals dels assegurats, estem en un supòsit de cessió de dades. L'asseguradora té una habilitació legal contemplada a la Llei 20/2015, de 14 de juliol, d'ordenació, supervisió i solvència de les entitats asseguradores i reasseguradores, comunament coneguda com “LOSSEAR”, a l'article 99 estableix que “Les entitats asseguradores podran tractar les dades dels prenedors, assegurats, beneficiaris o tercers el seu consentiment als únics efectes de garantir el ple desenvolupament del contracte d'assegurança i el compliment de les obligacions establertes en aquesta Llei i en les disposicions de desplegament”.

SERVEI POSTAL, TRANSPORT O MISSATGERIA: Les obligacions legals aplicables a les empreses de servei postal, transport i missatgeria (Llei 43/2010, de 30 de desembre, del servei postal universal, dels drets dels usuaris i del mercat postal) impedeixen enquadrar-les en la figura d'encarregat, ja que queden sotmeses a normativa específica, deures de fidelitat en la gestió de l'enviament; de manera que la seva activitat ha d'atendre i respectar aquests compromisos. Aquestes obligacions específiques converteixen aquests tipus d'empreses en RT perquè determinen la manera com es duu a terme el servei contractat, a més d'incorporar les dades facilitades als seus propis sistemes per a fins propis.

SERVEIS DE PROCURA: el procurador/a tracta les dades personals pel vostre compte i amb finalitats

propis, això és la representació del client en tota mena de processos. Els jutjats dirigeixen les seves resolucions directament als procuradors. Els procuradors presten els seus serveis directament als clients, no als advocats.

NOTÀRIA: com en els casos de serveis de procura o advocacia, el/la notari determina els fins i els mitjans del tractament, i en cap moment no seguirà instruccions del responsable.

AUDITORS DE COMPTES, SOCIETATS D'AUDITORIA: la independència i altres obligacions legals exigides als auditors, com ara la custòdia de documentació, (Llei 22/2015 d'Auditoria de Comptes) impedeix que quedin sotmesos a les instruccions de l'entitat auditada.

DETECTIUS PRIVATS: encara que qui el contracti sigui una persona jurídica o autònom/a (advocat, empresa, associació, etc.) i no una persona física i existeixi un contracte de prestació de serveis amb aquesta entitat, els detectius exerceixen una professió regulada que els imposa obligacions pròpies (Llei 5/2014 de Seguretat Privada). Aquesta independència és incompatible amb la figura de l’encarregat, que ha d’actuar segons instruccions documentades del responsable.

AGÈNCIES DE VIATGES, HOTELS, COMPANYIES AÈRIES: les obligacions legals exigides a aquestes entitats per a diferents tractaments de dades personals com puguin ser conservació o cessió impedeixen que puguin dur a terme la seva activitat seguint les instruccions de l'entitat que els contracta.

• SERVEIS DE TELEFONIA: les obligacions legals exigides a aquestes entitats, com ara la conservació de dades, impedeix que facin la seva activitat sotmeses a les instruccions de l'entitat que les contracta.

• SERVEIS D'INTERNET: les obligacions legals exigides a aquestes entitats, com ara la conservació de dades, impedeix que quedin realitzades la seva activitat sotmeses a les instruccions de l'entitat que les contracta.

• PERITATGE JUDICIAL: determinen les finalitats del tractament en estar sotmès a l'objectivitat del seu dictamen, és l'únic deure del peritatge i això en garanteix la independència. Ha d'actuar amb objectivitat, només pot estar sotmès a la lex artis, que és el conjunt de regles tècniques a què s'ha d'ajustar l'actuació del perit en l'exercici del seu art o ofici. En qualitat d'auxiliar judicial està subjecte a la mateixa garantia d'independència que el jutge. Els codis deontològics del peritatge judicial exigeixen la seva independència.

ENTITATS ORGANITZADORES DE FORMACIÓ BONIFICADA: les seves obligacions conforme a la Llei 30/2015, de 9 de setembre, per la qual es regula el Sistema de Formació Professional per a l'ocupació en l'àmbit laboral, i desenvolupada al seu torn pel Reial Decret 694/2017, de 3 de juliol, van més enllà de la seva prestació d’un servei. En aquest cas, la cessió de dades entre l'entitat bonificada que sol·licita la formació per a les persones treballadores i l'entitat organitzadora de la formació està legitimada per una obligació legal de l'entitat bonificada (art. 6.1.c RGPD).

CENTRES SANITARIS: centres sanitaris en general, entre els quals s'hi inclouen laboratoris de proves diagnòstiques, centres de diagnòstic per la imatge, centres de fisioteràpia, etc. que presten a altres entitats un servei d'assistència sanitària que ajuden al diagnòstic mèdic i prevenció de malalties, als quals la Llei 41/2002 imposa l'obligació del tractament de les dades que s'hagin d'incorporar a la història clínica del pacient, excedint òbviament aquest tractament de “les instruccions del responsable del tractament”, cosa que determina la impossible aplicació de l'article 28 de l'entitat per l'encàrrec de la qual realitza els serveis, i per això s'han de considerar responsables del tractament de dades personals dels pacients, derivat dels serveis que hagin efectuat.

També hi ha altres activitats que poden intervenir com RT o ET segons els serveis que prestin, per exemple els advocats.

• SERVEIS D'ADVOGACIA: l'advocat/da serà destinatari de dades (RT) quan es dedica al lliure exercici de la seva professió actuant en representació dels seus clients per mediar en assumptes judicials o extrajudicials tractant pel seu compte les dades personals.

En canvi, intervindrà com a encarregat (ET), per exemple:

o Quan els encarreguen una due diligence que requereix accedir al llistat de persones treballadores.

o Quan us encarreguen obtenir un Número d'Identificació d'Estranger (NIE) per a les persones indicades pel vostre client.

o Quan duen a terme una investigació duna denúncia rebuda a través del canal de denúncies duna empresa.

o En casos en què el despatx rep un encàrrec d'un altre professional o despatx per a la defensa lletrada d'un assumpte, és a dir, “externalitza” un col·laborador extern, un altre professional.

o En portar assumptes per a entitats bancàries, asseguradores, grups d'empreses, on s'estableixen convenis de col·laboració.

o A l'externalització de l'assessorament en matèria de dret laboral, o al mateix servei de consultoria en protecció de dades.

o En despatxos professionals on hi ha una signatura principal que engloba els diferents professionals autònoms.

o En casos d'assessorament jurídic continuat (assessorament a empreses en què es duu la gestió de les seves obligacions fiscals, laborals, comptables, propi a les assessories jurídiques, gestories, etc.)

I com els advocats (que de vegades actuen com a RT i altres com a RT), hi hauria molts altres professionals: agents tributaris, assessors fiscals, assessors financers, etc.