Responsable del fichero vs. Responsable del tratamiento

Veamos tres definiciones muy simples de la LOPD:

b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

¿Queda claro, no? Son definiciones simples y lo que es más importante, que a menudo se consideran equivalentes. De hecho, el punto d) indica «Responsable del fichero o tratamiento«. Ahora bien, sí que parece evidente, al menos desde un punto de vista intuitivo, la diferencia entre el fichero como «conjunto de datos organizados» y el tratamiento como procesamiento de esos datos. No obstante, no conozco a nadie que en la práctica establezca realmente (o al menos de manera habitual) dicha distinción.

Veamos ahora lo dicho por el Tribunal Supremo en sentencia del 5 de junio de 2004, donde establece la diferenciación entre el responsable del fichero y el responsable del tratamiento (la negrita es mía):

Dados los términos de la controversia, lo que en ella se ha de resolver es si en los contratos de ejecución de campañas de marketing, el responsable de la infracción por tratar datos sin el consentimiento del afectado es el titular del fichero que presta el servicio, o si tal responsabilidad se extiende también a la empresa a cuyo favor se realiza la campaña de marketing, en este caso el “ENTIDAD A”. […]

Ha de tomarse en consideración, además, que si bien la LORTAD ceñía su ámbito de aplicación en torno al concepto de «fichero automatizado», por lo que se limitaba a definir la figura del responsable del fichero, la vigente LOPD ha modificado la definición de fichero (art. 2) excluyendo de la misma cualquier referencia al tratamiento de datos, diferenciando las figuras de «responsable del fichero» y «responsable del tratamiento» en los art. 3.b) y 3.d) y asimismo delimitando con precisión la figura del encargado del tratamiento (art. 12). Se define tal «responsable del tratamiento», a tenor de dicho art. 3 d) de la Ley 15/99, y también del artículo 2 letra d) de la Directiva Comunitaria, como «la persona física o jurídica, autoridad pública, servicio, o cualquier otro organismo que sólo, o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales, por lo que tal figura del responsable se conecta en la Ley con el poder de decisión sobre la finalidad, contenido y uso del tratamiento».

Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.

Aunque no he podido localizar mucha más información de la indicada, por lo que las asunciones que hago pueden ser incorrectas, cabe imaginar de lo planteado que la empresa EmpresaCliente contrata a la empresa EmpresaMarketing para que esta última realice (por ejemplo) una campaña de mailing en nombre de EmpresaCliente . Supongamos dos casos:

  • En el primero, los datos para la realización del mailing masivo los proporciona EmpresaCliente. Así, EmpresaCliente es Responsable del Fichero y EmpresaMarketing un Encargado del Tratamiento y no hay mucho más que rascar.
  • En el segundo caso, que parece ser el que nos ocupa, los datos para el mailing los aporta EmpresaMarketing al disponer de una base de datos de potenciales receptores (captados de manera ilegítima, al parecer). En este caso, EmpresaMarketing es el Responsable del Fichero y EmpresaCliente no parece tener ninguna responsabilidad: no es (aparentemente) Responsable del Fichero y tampoco es, desde luego, Encargado del Tratamiento.

Sin embargo, a decir de la sentencia, dado que EmpresaCliente toma parte en la decisión de la finalidad, contenido y uso de los datos personales utilizados para el mailing, debe considerarse también como Responsable del Tratamiento. Si bien seguramente este caso sea aplicable en más situaciones, no se me ocurren muchas más situaciones en las que una empresa, sin que medien comunicaciones de datos o encargos del tratamiento y sin disponer de acceso a los datos personales utilizados en un tratamiento llevado a cabo por un tercero, pueda considerarse como Responsable del Tratamiento, o co-responsable, si lo prefieren así.

No obstante, sería interesante conocer su opinión.