Quan una empresa externa és encarregat de tractament o destinatari de dades

09/07/2019 | Josep Aragonés Salvat



Segons el reglament (art. 4.8), encarregats de tractament (ET) són els que realitzen un tractament per encàrrec del responsable del tractament (RT). Seguint aquesta definició, totes les empreses que contracta un RT i que necessiten tractar dades personals per prestar el servei serien ET, ja que totes fan el tractament per encàrrec del RT.

En l'art. 4.9 es defineixen els DESTINATARIS com els que reben dades (d'un RT o ET). No existeix un article específic per a regular les cessions de dades a destinataris com existia a la LOPD, motiu pel qual, sota el nostre punt de vista, tots serien ET excepte si ens comuniquen que es fan RT de les dades rebudes, la qual cosa ha d'estar legitimada ja que:
  • la finalitat de la cessió ha d'estar relaciona amb la finalitat del tractament.
  • haurem d'informar a l'interessat que cedim dades a un DESTINATARI en concret o una categoria de destinataris en general.

L'art. 28.10 de l'encarregat de tractament diu: si un encarregat del tractament infringeix el present Reglament en determinar els fins i mitjans del tractament, serà considerat responsable del tractament pel que fa a aquest tractament, de manera que, si aquest tipus d'empreses determinen pel seu compte els fins i mitjans del tractament, seran RT i conseqüentment serà una cessió de dades.

A tenir en compte que un ET no pot determinar pel seu compte els fins i mitjans del tractament sense l'autorització del RT, ja que infringiria el GDPR, considerant-se aquesta infracció com a greu (art.73 LOPDGDD).

Per aclarir dubtes sempre ens fem una pregunta que pot determinar el tipus de relació:

El RT pot obligar a eliminar les dades a l'ET?
  • Si pot, serà ET.
  • Si no pot (per una obligació legal o per les característiques de la seva activitat), serà DESTINATARI, o les dues coses, si hi ha dades que sí i dades que no.

En aquesta tessitura ens podem trobar aquestes empreses externes:
  • VIGILÀNCIA DE LA SALUT
  • MÚTUA D'ACCIDENTS LABORALS
  • BANCS (guarden les transaccions i moviments bancaris)
  • ASSEGURADORES, CRÈDIT I CAUCIÓ
  • SERVEI POSTAL O MISSATGERIA (guarden informació de l'enviament)
  • SERVEIS DE TELEFONIA (guarden informació de trucades)
  • SERVEIS D'INTERNET (guarden informació de connexions)
  • SERVEIS JURÍDICS: ADVOCATS, PROCURADORS, NOTARIS (guarden els seus expedients)
  • AUDITORS DE COMPTES, SOCIETATS D'AUDITORIA (per obligació legal tenen independència respecte a l'empresa auditada i a la conservació de la informació)
  • I TOTS ELS ET QUE PRECISEN GUARDAR DADES UN COP ACABAT EL CONTRACTE DE SERVEIS AMB EL RT.

En tots aquests casos hauríem de pensar que seran DESTINATARIS, alhora que també poden ser ET perquè se'ls encarrega un tractament.

Mentre l'AC no disposi el contrari, tots aquests tipus d'empreses les considerarem DESTINATARIS sempre que ens signin el contracte com a tal. Però hem d'assegurar que el signen, a diferència dels organismes públics que el GDPR els eximeix de ser DESTINATARIS per realitzar el tractament per al compliment d'una Llei que regula les seves activitats. Dins d'aquest apartat l'AEPD posa a la VIGILÀNCIA DE LA SALUT i MÚTUA D'ACCIDENTS LABORALS perquè diu que el tractament està regulat per una llei que els obliga a ser RT.

La PREVENCIÓ DE RISCOS LABORALS (PRL) és considerada ET ja que accedeix a les dades per compte de l'RT i aquest pot obligar-lo a eliminar les dades.


OBLIGACIONS PER A LA CESSIÓ DE DADES COM DESTINATARI

Obligacions de l'RT emissor de dades a un DESTINATARI


- Informar de la cessió de dades a l'interessat per ser necessari per assolir els fins del tractament (Art. 13.1.e).
- Protegir aquestes dades en la mesura que ha d'informar al DESTINATARI que només els pot tractar per a la finalitat autoritzada per l'interessat i que a partir de la transmissió serà RT dels mateixos (art. 24.1 i 2).

Obligacions del DESTINATARI receptor de dades

- Garantir que les dades s'han obtingut lícitament (Article 6) i que s'ha informat de la cessió a l'interessat (art. 13.1.e).
- Informar dels fins a què es destinen les dades a l'interessat, que han de coincidir amb els autoritzats per l'interessat (art. 14.1.c).
- Comunicar la informació del tractament a l'interessat en els terminis que estableix el Reglament (Art 14.3).

Contracte de DESTINATARI de dades

Per poder demostrar qualsevol de les parts que la cessió de dades és lícita és recomanable establir un contracte o acord on s'especifiquin aquests termes, excepte quan el DESTINATARI és una autoritat o organisme públic en l'exercici de les seves funcions públiques basades en la legislació vigent ( article 14.5.c).


Normativa aplicable

Article 24 Responsabilitat del responsable del tractament

1. Tenint en compte la naturalesa, l'àmbit, el context i les finalitats del tractament així com els riscos de diversa probabilitat i gravetat per als drets i llibertats de les persones físiques, el responsable del tractament aplicarà mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el present Reglament. Aquestes mesures s'han de revisar i actualitzar quan sigui necessari.
2. Quan siguin proporcionades en relació amb les activitats de tractament, entre les mesures esmentades a l'apartat 1 s'ha d'incloure l'aplicació, per part del responsable del tractament, de les oportunes polítiques de protecció de dades.

Article 13 Informació que s'ha de facilitar quan les dades personals s'obtinguin de l'interessat

1. Quan s'obtinguin d'un interessat dades personals relatives a ell, el responsable del tractament, en el moment en què aquests s'obtinguin, li facilitarà tota la informació indicada a continuació:
...
e) els destinataris o les categories de destinataris de les dades personals, si escau;

Article 14 Informació que s'ha de facilitar quan les dades personals no s'hagin obtingut de l'interessat

1. Quan les dades personals no s'hagin obtinguts de l'interessat, el responsable del tractament li facilitarà la informació següent:
...
c) les finalitats del tractament a què es destinen les dades personals, així com la base jurídica del tractament;
...
3. El responsable del tractament ha de facilitar la informació indicada en els apartats 1 i 2:
a) dins d'un termini raonable, un cop obtingudes les dades personals, i com a molt tard d'aquí a un mes, tenint en compte les circumstàncies específiques en què es tractin aquestes dades;
b) si les dades personals han de utilitzar-se per comunicació amb l'interessat, com a molt tard en el moment de la primera comunicació a dit interessat, o
c) si està previst comunicar-les a un altre destinatari, com a molt tard en el moment en què les dades personals siguen comunicades per primera vegada.
....
5. Les disposicions dels apartats 1 a 4 no són aplicables quan i en la mesura que:
c) l'obtenció o la comunicació estigui expressament establerta pel Dret de la Unió o dels estats membres que s'apliqui al responsable del tractament i que estableixi mesures adequades per protegir els interessos legítims de l'interessat.