¿Cuándo una empresa externa es encargado de tratamiento o destinatario de datos?


Manuel Castilleja Toscano     16/11/2021

En muchas ocasiones resulta complicado diferenciar cuándo estamos ante un encargo del tratamiento y cuándo ante una cesión o comunicación de datos personales a otra entidad. Y es una cuestión importante a determinar, dadas las implicaciones y obligaciones legales en materia de privacidad en cada caso. Por ello, intentaremos aclarar cuándo nos encontramos ante una u otra situación.

Según el GDPR (art. 4.8 GDPR), encargado de tratamiento (ET) es la entidad que trata datos personales por cuenta del responsable del tratamiento (RT). En principio y conforme a esta definición, todas las entidades contratadas por un RT para que les preste un servicio que precise tratar datos personales responsabilidad del RT serían ET, ya que todas realizan el tratamiento por encargo y por cuenta del RT.

Del mismo modo el art. 4.9 GDPR define a los destinatarios como aquella entidad a la que un RT o un ET les cedan o comuniquen datos personales.

Por lo tanto, estaremos ante un encargo del tratamiento cuando la entidad que nos presta el servicio está tratando los datos personales por nuestra cuenta, o sea siguiendo únicamente nuestras instrucciones (art. 28.3.a GDPR). En cambio, estaremos ante una cesión de datos cuando la entidad que nos presta el servicio está tratando los datos personales por su cuenta, o sea sin seguir nuestras instrucciones.

La relación entre los intervinientes en un tratamiento de encargo es de RT a ET, en cambio en una cesión de datos es de RT (emisor) a RT (receptor).

Para determinar si un prestador de servicios interviene como encargado del tratamiento (ET) o destinatario de datos (RT) podríamos realizarnos diversas preguntas, por ejemplo:

  • ¿Nosotros determinamos los fines y los medios del tratamiento, o los determina el prestador de servicios?
  • ¿El prestador de servicios está obligado a seguir únicamente nuestras las instrucciones?
  • ¿Podemos obligarlos a suprimir los datos o a que nos los devuelvan y que no se queden ninguna copia?

Implicaciones legales en el caso de una cesión de datos (de RT a RT)

RT emisor: la entidad que cede o comunica los datos personales a otro responsable.

El GDPR regula la comunicación de datos personales como un tratamiento de datos personales más (art. 4.2) y, para su licitud, se necesita alguna de las bases legitimadoras del art. 6.1, y no necesariamente tiene que ser el consentimiento, también puede ser por obligación legal, ejecución de contrato, interés vital, público o legítimo.

Por lo que, previamente a la cesión de datos, además de contar con una base jurídica adecuada, también se deberá informar (art. 13 o 14 GDPR) al interesado de las categorías de destinatarios a quien se prevé comunicar sus datos.

RT receptor: la entidad destinataria que recibe los datos personales de otro responsable.

El destinatario estará obligado, como nuevo RT de los datos recibidos, a informar del tratamiento al interesado conforme el art. 14 GDPR (datos no obtenidos del interesado) y a comunicarle dicha información:

  • en un plazo máximo de 1 mes; o
  • en el momento de la primera comunicación con el interesado; o
  • en el momento en que se revelen los datos a otro destinatario.

No será obligatorio realizar esta comunicación cuando:

  • el interesado ya disponga de la información; o
  • cuando la comunicación sea imposible o suponga un esfuerzo desproporcionado (en este caso se podría publicar en la página web corporativa); o
  • cuando la obtención o la comunicación esté expresamente establecida por la legislación vigente; o
  • cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por la legislación vigente, incluida una obligación de secreto de naturaleza legal.

Aunque el GDPR no regula la necesidad de suscribir un contrato de cesión de datos entre el RT emisor y el RT receptor de datos, sí que es recomendable establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión, especialmente para el RT receptor porque debe poder demostrar que ha obtenido los datos lícitamente, ya que no se los ha facilitado directamente el interesado.

Dicho acuerdo debería contemplar, como mínimo:

  • que el RT emisor garantiza que los datos cedidos se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.
  • que el RT receptor solo tratará los datos para el fin de la cesión y que no los destinará a otros fines.
  • que el RT receptor se comprometerá a ejecutar las solicitudes relativas a los derechos de rectificación y supresión de datos y de limitación al tratamiento que le comunique el RT emisor.

Casos específicos de cesión de datos:

A pesar de lo expuesto, en el día a día se producen situaciones que pueden hacernos dudar de si estamos ante una u otra situación porque, aunque encarguemos un tratamiento, el destinatario va a tratar los datos por su cuenta y bajo su responsabilidad, determinando los fines y los medios del tratamiento.

A continuación, relacionamos una serie de actividades que, aunque en principio pudiesen parecer ET, resultan RT. En esta tesitura nos podemos encontrar con las siguientes empresas externas:

  • VIGILANCIA DE LA SALUD: el acceso a la información relativa a la salud de la persona trabajadora se limita al personal médico y a las autoridades sanitarias que les prestan el servicio de vigilancia de la salud, sin que pueda facilitarse al empresario/a o a otras personas ninguna información en este sentido, sin el consentimiento expreso del interesado (Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales).
  • MUTUA DE ACCIDENTES DE ACCIDENTES DE TRABAJO Y EEPP: intervendrán en calidad de RT respecto de aquellos tratamientos de datos personales que efectúen en el ejercicio de las funciones que el Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social les atribuye, cuando las empresas y las personas trabajadoras por cuenta propia contratan con ellas las contingencias profesionales, la prestación económica por incapacidad temporal derivada de contingencias comunes y la protección por cese de actividad, ya que, en tales supuestos, el acceso a los datos por parte de las Mutuas es necesario por las funciones que tiene atribuidas legalmente.
  • BANCOS: según criterios de la AEPD, nos hallamos ante una cesión de datos, dado que los datos transmitidos serán incorporados a los ficheros de la entidad financiera, que procederá a su tratamiento para fines que les son propios, esto es, la gestión de cobros de acuerdo con la práctica habitual en las relaciones comerciales entre clientes y entidades bancarias.
  • ASEGURADORAS, CRÉDITO Y CAUCIÓN: la entidad aseguradora realiza diversos tratamientos con los datos de los asegurados, decidiendo el uso y finalidad de los mismos al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los asegurados, estamos en un supuesto de cesión de datos. La aseguradora tiene una habilitación legal contemplada en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, comúnmente conocida como “LOSSEAR”, en su artículo 99 establece que “Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo”.
  • SERVICIO POSTAL, TRANSPORTE O MENSAJERÍA: las obligaciones legales aplicables a las empresas de servicio postal, transporte y mensajería (Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal) impiden encuadrarlas en la figura de encargado, ya que quedan sometidas a normativa específica sujeta a secreto profesional, confidencialidad, protección de datos y deberes de fidelidad en la gestión del envío; de modo que su actividad debe atender y respetar dichos compromisos. Estas obligaciones específicas convierten a estos tipos de empresas en RT porque determinan el modo en que se lleva a cabo el servicio contratado, además de incorporar los datos facilitados en sus propios sistemas para fines propios.
  • SERVICIOS DE PROCURA: el procurador/a trata los datos personales por su cuenta y con fines
  • propios, esto es la representación del cliente en todo tipo de procesos. Los juzgados dirigen sus resoluciones directamente a los procuradores. Los procuradores prestan sus servicios directamente a sus clientes, no a los abogados.
  • NOTARIA: como en los casos de servicios de procura o abogacía, el/la notario determina los fines y los medios del tratamiento, y en ningún momento seguirá instrucciones del responsable.
  • AUDITORES DE CUENTAS, SOCIEDADES DE AUDITORÍA: la independencia y otras obligaciones legales exigidas a los auditores, tales como la custodia de documentación, (Ley 22/2015 de Auditoría de Cuentas) impide que queden realicen su actividad sometidos a las instrucciones de la entidad auditada.
  • AGENCIAS DE VIAJES, HOTELES, COMPAÑÍAS AÉREAS: las obligaciones legales exigidas a estas entidades para distintos tratamientos de datos personales como puedan ser conservación o cesión de los mismos impiden que puedan llevar a cabo su actividad siguiendo las instrucciones de la entidad que los contrata.
  • SERVICIOS DE TELEFONÍA: las obligaciones legales exigidas a estas entidades, como la conservación de datos, impide que realicen su actividad sometidos a las instrucciones de la entidad que los contrata.
  • SERVICIOS DE INTERNET: las obligaciones legales exigidas a estas entidades, como de conservación de datos, impide que queden realicen su actividad sometidos a las instrucciones de la entidad que los contrata.
  • CENTROS SANITARIOS: centros sanitarios en general, entre los que se incluyen laboratorios de pruebas diagnósticas, centros de diagnóstico por la imagen, centros de fisioterapia, etc. que prestan a otras entidades un servicio de asistencia sanitaria que ayudan al diagnóstico médico y prevención de enfermedades, a los que la Ley 41/2002 impone la obligación del tratamiento de los datos que hayan de incorporarse a la historia clínica del paciente, excediendo obviamente dicho tratamiento de “las instrucciones del responsable del tratamiento”, lo que determina la imposible aplicación del artículo 28 del GDPR y la imposibilidad de considerar que sean meros encargados del tratamiento de la entidad por cuyo encargo realiza los servicios, y por lo que deben considerarse responsables del tratamiento de datos personales de los pacientes, derivado de los servicios que hayan efectuado.

También existen otras actividades que pueden intervenir como RT o ET según los servicios que presten, por ejemplo los abogados.

  • SERVICIOS DE ABOGACÍA: el abogado/a será destinatario de datos (RT) cuando se dedica al libre ejercicio de su profesión actuando en representación de sus clientes para mediar en asuntos judiciales o extrajudiciales tratando por su cuenta los datos personales.

    En cambio, intervendrá como encargado (ET), por ejemplo:
    • Cuando les encargan una “due diligence” que requiere acceder al listado de personas trabajadoras.
    • Cuando les encargan obtener un Número de Identificación de Extranjero (NIE) para las personas indicadas por su cliente.
    • Cuando llevan a cabo una investigación de una denuncia recibida a través del canal de denuncias de una empresa.
    • En casos en los que el despacho recibe un encargo de otro profesional o despacho para la defensa letrada de un asunto, es decir se “externaliza” a un colaborador externo, otro profesional.
    • En la llevanza de asuntos para entidades bancarias, aseguradoras, grupos de empresas, donde se establecen convenios de colaboración.
    • En la externalización del asesoramiento en materia de derecho laboral, o en el propio servicio de consultoría en protección de datos.
    • En despachos profesionales donde existe una firma principal que engloba a los diferentes profesionales autónomos.
    • En casos de asesoramiento jurídico continuado (asesoramiento a empresas en los que se lleva la gestión de sus obligaciones fiscales, laborales, contables, propio en las asesorías jurídicas, gestorías, etc.)

Y como los abogados (que a veces actúan como RT y otras como RT), habría otros muchos profesionales: agentes tributarios, asesores fiscales, asesores financieros, etc.