Figuras «externas» de la LOPD

Hace mucho que no hablamos de la LOPD por aquí, así que hoy toca. Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en «internas» y «externas». En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Nótese que aunque algunas funciones puedan ser delegadas en empresas externas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras «internas».

En el segundo grupo, objeto de esta entrada, encontramos al Encargado del Tratamiento (y al Subencargado), al Cesionario y al prestador de servicios sin acceso a datos de carácter personal (DCP en lo que sigue). Como se imaginarán si conocen la LOPD y su reglamento, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.

  • Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento«. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos «por encargo» del responsable del tratamiento.

    Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por «tratamiento» en el apartado c) del mismo artículo: «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias«.

    Vamos con un par de ejemplos evidentes. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP «en nombre», «por cuenta» o «por encargo» de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.

    Sea ahora la misma empresa A que contrata a la empresa C la gestión de su CAU, que da soporte a usuarios internos y externos. En éste recogen incidencias reportadas por los usuarios de la organización, entre cuyos datos figura el nombre y apellidos del usuario además de otra información de contacto. De nuevo, parece claro que C trata o gestiona DCP de los usuarios de A, por lo que de nuevo, es un encargado del tratamiento.

    En estos casos, es necesario que la empresa A firme, aparte del contrato de prestación de servicios, un contrato de acceso a datos tal y como especifica el artículo 12.2 de la LOPD: «La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato […] estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán […] las medidas de seguridad […] que el encargado del tratamiento está obligado a implementar.»

    Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría ni la empresa de gestión del CAU tienen que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento «no es suyo».

    Dejémoslo aquí y pasemos al siguiente.

  • Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, «Prestaciones de servicios sin acceso a datos personales». El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.

    Sigamos con A y veamos un par de casos. Esta empresa ha contratado a E, una empresa de limpieza, cuyo contrato no está obviamente relacionado con la gestión de DCP. No obstante, cabe la posibilidad de que en el desempeño de sus tareas, los empleados de E puedan ver DCP.

    La empresa A también ha contratado a una empresa de seguridad, llamémosla por ejemplo F, quien les ha puesto un guardia de seguridad vigilando el perímetro de la empresa. De nuevo, en su trabajo Felipe (que así se llama el guardia) no gestiona DCP, pero es evidente que puede ver personas entrar y salir de la empresa aparte de otros tratamientos esporádicos.

    Ahora bien, si a Felipe le dan nuevas atribuciones y pasa a llevar el registro de entrada y salida del personal y de los visitantes, la empresa de seguridad pasa a ser un encargado del tratamiento, al gestionar DCP «por cuenta», «por encargo», «en nombre» de la empresa A.

    En estos casos, el contrato de prestación de servicios «recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio» (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.

    De nuevo, tampoco en este caso la empresa de seguridad deberá declarar el tratamiento, porque mientras se dedique a la vigilancia perimetral no hay tal tratamiento, y en otro caso es un tratamiento de la empresa A, no suyo.

  • Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como «toda revelación de datos realizada a una persona distinta del interesado«. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: «No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento«. El artículo 20.1 del RDLOPD añade una consideración importante: «No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado«.

    Nótese que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es «alguien» que desea realizar tratamientos «propios» sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.

    Veamos un par de ejemplos de qué es una cesión de datos.

    Imaginemos que la empresa A le proporciona (vende, cambia, envía) los datos de sus empleados a una empresa de telemarketing para que ésta los utilice para sus campañas. En este caso estaríamos hablando de una comunicación de datos legal si se ha solicitado previamente consentimiento al usuario (y por tanto se han proporcionado únicamente los datos de aquellos que han otorgado dicho consentimiento), e ilegal si no ha sido así. Téngase en cuenta que este caso es diferente del caso en el que la gestoría B decide por su cuenta y riesgo utilizar los datos de los empleados de la empresa A para mandarles propaganda sobre declaraciones de impuestos, tal y como indica el artículo 12.4: «En el caso de que el encargado del tratamiento destine los datos a otra finalidad […] incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento […]«.

    Asimismo, también es diferente al caso en el que la empresa A contrata a la empresa de telemarketing H para realizar una campaña comercial, dado que en este caso se trataría de un encargado del tratamiento y quien podría incurrir en una ilegalidad es la empresa A. Es habitual ver este caso para intentar evitar la LOPD: una empresa española contrata a una empresa india para que envíe información comercial a sus clientes, a cuya entidad (la empresa india) no aplica la LOPD. No obstante, dado que el tratamiento de datos es realizado «en el marco de las actividades de un establecimiento del responsable del tratamiento» (Artículo 3.1.a RDLOPD), le aplica la LOPD.

    Veamos para acabar otro caso más legal. La empresa A decide contratar un seguro de salud para sus empleados con la empresa J. Dado que dicho tratamiento de datos no está directamente relacionado con ningún contrato de prestación de servicios entre A y J, se trata de una comunicación de datos para la que A debe solicitar consentimiento. Además, en este caso es evidente que se crea un nuevo vínculo independiente entre el empleado y la empresa aseguradora en el que la empresa A no interviene, que puede mantenerse incluso cuando la relación laboral entre el empleado y la empresa A haya finalizado, si el primero lo desea.

Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.

Comments

  1. La empresa A vende y envía productos a sus clientes C. Para ello utiliza multiples empresas de transporte urgente B, dependiendo del destino y tarifa.
    Por supuesto (como es conocido) las empresas de transporte B introducen los datos identificativos de los clientes C en sus sistemas informáticos (Nombre, Apellidos, Empresa, Dirección completa de destino y Telefono).
    Supongamos que la empresa B utiliza los datos de C para efectuar el envío de los productos de A (hasta aquí, obvio), pero supongamos también que la empresa B utiliza los datos de C para obtener datos estadísticos con el objeto de analizar y mejorar su propio negocio (este es un uso que nadie declara pero que las agencias de transporte realizan de forma efectiva), además las empresas de transporte mantienen en sus sistemas informáticos los datos de C durante mucho tiempo (probablemente demasiado), con el objeto de poder atender a reclamaciones de A en el futuro.
    A primera vista, la empresa B respecto a la empresa A, es un cesionario, pero ¿debería también ser considerado responsable del tratamiento?

    Saludos,

  2. Veamos.

    En mi opinión el tratamiento de los datos de los clientes de A que realiza la empresa de transportes no es una cesión sino un encargo del tratamiento ya que ese tratamiento tiene como único fin (en teoría) el hacer llegar al cliente el producto de la empresa A.

    Por otro lado, parece lógico que para poder gestionar las reclamaciones y consultas de los clientes respecto a sus pedidos actuales e incluso pasados, hasta cierto tiempo atrás, la empresa de transportes almacene la información del cliente incluso por obligaciones de carácter legal.

    Puede admitirse que utilizar los datos del usuario para optimizar la ruta de reparto del día o incluso la semana, si el intervalo del reparto es más amplio, es parte del tratamiento de datos propio del servicio, y la utilización de los datos a posteriori para establecer parámetros estadísticos puede ser aceptable si se trata de datos estadísticos agregados o anonimizados utilizados para establecer asignación de recursos por zonas de reparto.

    En el caso de que la empresa utilice la información para cualquier otro fin que no esté relacionado con hacer llegar el paquete al cliente, estaríamos hablando de un tratamiento de datos no autorizado que podría entrar dentro de lo que consideramos cesión de datos. Por ejemplo, si la información para la asignación de recursos no ha sido debidamente anonimizada, o si la empresa de transportes analiza de manera periódica qué personas son receptores habituales de paquetes con objeto de hacerles llegar publicidad. Cabe destacar, no obstante, que en este caso la empresa A no podría considerarse responsable de este tratamiento no legítimo ni del mal uso que se le diese a los datos.