¿Mi proveedor es responsable o encargado de tratamiento?


Esta pregunta nos surge muchas veces a la hora de ponernos a diseñar nuestro Registro de Actividades de Tratamiento , al realizar un inventario de los Encargados de Tratamiento con los que mi empresa trata, y también cuando vamos a enviar los contratos de prestación de servicios en los que se encarga el tratamiento de los datos a uno de nuestros proveedores, como por ejemplo en el caso de trabajar con mensajerías, o en el caso de ceder datos siendo una consulta médica a un centro que realiza diagnóstico.

En base a estos dos ejemplos vamos a explicar y exponer qué son estas figuras, qué papel juegan, y como resolvemos la relación: realizando un contrato de encargo, ¿o comunicando en las cláusulas informativas que cedemos datos a estos terceros?  Porque, aunque a veces la distinción parece clara, en la práctica no siempre es así.

Procedemos a definir y tener claro la definición de Responsable y de Encargado de tratamiento.  
El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, RGPD), define por un lado, en el artículo 4.7 al responsable del tratamiento como, «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros«. Por tanto, esta figura, El Responsable del Tratamiento decide y define el tratamiento de sus datos.

Por otro lado, define en el artículo 4.8 al Encargado de Tratamiento como, «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Por tanto, esta figura y siguiendo las indicaciones que marca tanto el RGPD como la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) en relación al establecimiento de un contrato o acto jurídico en el que se estipule que el Encargado actúa en nombre del Responsable de Tratamiento para la realización del tratamiento de datos.

Teniendo claras ambas figuras y la distinción entre ellas, podemos pasar a analizar los ejemplos.

1. ¿debo firmar con mi empresa de mensajería un contrato de prestación de servicios con el objeto de hacer un encargo de tratamiento?

En este caso debemos tener en cuenta que en el contexto con la mensajería hay que distinguir dos puntos clave:

* el primero que es que se debe distinguir entre los datos personales que van dentro del sobre/caja/etc, a los que el mensajero no tiene acceso
* el segundo son los datos personales del remitente y destinatario.

Por lo que respecta al segundo punto, las mensajerías integran los datos de remitente y destinatario a su base de datos, deciden sobre la manera de llevar a cabo el servicio y usan los datos para sus fines, por tanto, pasan a ser Responsables de tratamiento.
La AEPD en relación con este asunto es clara y nos dice que en la relación con las mensajerías “no se produce una actuación del consultante como encargado del tratamiento, sino que incorpora los datos personales recabados para sus propios fines, y es él quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, emplea la información obtenida para sus propios fines, integrándola finalmente en sus propias bases de datos, para la prestación del Servicio”
En relación al primer punto, las mensajerías tienen una obligación legal de cumplimiento según el art. 5 (Ley 43/2010 de 30 de diciembre, del Servicio postal universal), relativo al secreto de las comunicaciones postales, establece que “los operadores postales deberán realizar la prestación de los Servicios con plena garantía del secreto de las comunicaciones postales, (…). Los operadores que presten servicios postales no facilitarán ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario ni a sus direcciones, sin perjuicio de lo dispuesto en el artículo 6. “. Añadiendo el artículo 6.1 que “Los operadores postales deberán cumplir con el deber de fidelidad en la custodia y gestión de los envíos postales”.

En definitiva, la Ley establece obligaciones específicas a las mensajerías en materia de protección de datos que no casan con la figura de Encargado de Tratamiento y que, como operadores postales, sí tienen una obligación en relación al envío, y que si éstas fuesen consideradas encargadas de tratamiento dichas obligaciones pasarían a ser del remitente, cosa que no pasa.

Por lo que podemos establecer que las mensajerías en base a lo comentado son Responsables de tratamiento y por tanto existe una comunicación de datos entre responsables de tratamiento. Así lo ha entendido la AEPD por ejemplo en su informe de 29 de noviembre de 2010 en relación con los datos entregados para el cobro de recibos a través de una entidad bancaria, ya que [no se] «realiza el tratamiento de los datos cedidos de acuerdo con las instrucciones facilitada por el cliente, sino que únicamente se pone a disposición del cliente la posibilidad de realizar los pagos de los recibos a través de la banca electrónica de acuerdo con las finalidades y el objeto social que les propio al tratarse de una entidad bancaria«. Por consiguiente, se exceden de las instrucciones del responsable del tratamiento en el tratamiento de los datos efectuados por dichas empresas, quienes realizar su actividad por cuenta del cliente, pero nombre propio.

2¿Soy una consulta médica y cedo los datos a un centro de diagnóstico, debo firmar contrato de encargo de tratamiento con ellos?

En el presente caso, debemos evaluar si el centro de diagnóstico incorpora los datos de la consulta médica a sus propias bases de datos para sus propios fines, y es quien lleva y decide sobre el servicio de realización de pruebas diagnósticas. En este caso el centro de diagnóstico es Responsable de tratamiento, y existe una comunicación de datos, porque el centro de diagnóstico recibe los datos de la consulta médica, y es el centro de diagnóstico como veníamos anunciando, quien posteriormente decide sobre la realización de la prueba diagnóstica y actúa en su propio nombre, no por cuenta de la consulta médica.

En el caso de que el centro diagnóstico se limite a realizar las pruebas en nombre del centro médico, no añada los datos para sus propios fines y no decida sobre la realización de las pruebas, si no que sea el Centro médico quien lo haga, sí será Encargado de tratamiento y por tanto deberemos firmar el correspondiente contrato de prestación de servicios que marca el RGPD en su artículo 28.