Quan una empresa externa és l'encarregat del tractament o el destinatari de dades?


Manuel Castilleja Toscano     20/12/2021

En moltes ocasions resulta complicat diferenciar quan estem davant d'un encàrrec del tractament i davant d'una cessió o comunicació de dades personals a una altra entitat. I és una qüestió important a determinar, donades les implicacions i les obligacions legals en matèria de privacitat en cada cas. Per això, intentarem aclarir quan ens trobem davant l'una i l'altra situació.

Segons el GDPR (art. 4.8 GDPR), encarregat del tractament (ET) és l'entitat que tracta dades personals per compte del responsable del tractament (RT). En principi i conforme a aquesta definició, totes les entitats contractades per un RT per a les quals presten un servei que precisi tractar dades personals responsabilitat del RT serien ET, ja que totes realitzen el tractament per encàrrec i per compte del RT.

De la mateixa manera l'art. 4.9 GDPR defineix als destinataris com aquella entitat a la que un RT o un ET cedeixen o comuniquen dades personals.

Per tant, estarem davant d'un encàrrec del tractament quan l'entitat que ens presti el servei està tractant les dades personals pel nostre compte, o sigui, seguint únicament les nostres instruccions (art. 28.3.a GDPR). En canvi, estarem davant una cessió de dades quan l'entitat que ens presta el servei estigui tractant les dades personals pel seu compte, o bé no segueixi les nostres instruccions.

La relació entre els intervinents en un tractament d'encàrrec és de RT a ET, per contra en una cessió de dades és de RT (emissor) a RT (receptor).

Per determinar si un prestador de serveis intervé com a encarregat del tractament (ET) o destinatari de dades (RT) podríem fer-nos diverses preguntes, per exemple:

  • Nosaltres determinem les finalitats i els mitjans del tractament, o els determina el prestador de serveis?
  • El prestador de serveis està obligat a seguir únicament les nostres instruccions?
  • Podem obligar-los a suprimir les dades o que ens les tornin i que no se'n quedin cap còpia?

Implicacions legals en el cas d'una cessió de dades (de RT a RT)

RT emissor: l'entitat que cedeix o comunica les dades personals a un altre responsable.

El GDPR regula la comunicació de dades personals com un tractament de dades personals més (art. 4.2) i, per sol·licitar-ho, cal alguna de les bases legitimadores de l'art. 6.1, i no necessàriament ha de ser el consentiment, també pot ser per obligació legal, execució de contracte, interès vital, públic o legítim.

Per això, prèviament a la cessió de dades, a més de comptar amb una base jurídica adequada, també s'haurà d'informar (art. 13 o 14 GDPR) a l'interessat de les categories de destinataris a qui es preveu comunicar les seves dades.

RT receptor: l'entitat destinatària que rep les dades personals d'un altre responsable.

El destinatari estarà obligat, com a nou RT de les dades rebudes, a informar del tractament a l'interessat conforme l'art. 14 GDPR (dades no obtingudes de l'interessat) i a comunicar-li aquesta informació:

  • en un termini màxim d'1 mes; o
  • al moment de la primera comunicació amb l'interessat; o
  • al moment que es revelin les dades a un altre destinatari.

No serà obligatori fer aquesta comunicació quan:

  • l'interessat ja disposi de la informació; o
  • quan la comunicació sigui impossible o suposi un esforç desproporcionat (en aquest cas es podria publicar a la pàgina web corporativa); o
  • quan l'obtenció o la comunicació estigui expressament establerta per la legislació vigent; o
  • quan les dades personals hagin de continuar tenint caràcter confidencial sobre la base d'una obligació de secret professional regulada per la legislació vigent, inclosa una obligació de secret de naturalesa legal.

Tot i que el GDPR no regula la necessitat de subscriure un contracte de cessió de dades entre el RT emissor i el RT receptor de dades, sí que és recomanable establir per escrit acords que contemplin les condicions sota les quals es produeix la cessió, especialment per al RT receptor perquè ha de poder demostrar que ha obtingut les dades lícitament, ja que no se les ha facilitat directament l'interessat.

Aquest acord hauria de contemplar, com a mínim::

  • que el RT emissor garanteix que les dades cedides s'han obtingut lícitament i que són adequades, pertinents i limitades a les finalitats del tractament.
  • que el RT receptor només tractarà les dades per a la fi de la cessió i que no les destinarà a altres fins..
  • que el RT receptor es comprometrà a executar les sol·licituds relatives als drets de rectificació i supressió de dades i de limitació al tractament que us comuniqui el RT emissor.

Casos específics de cessió de dades:

Tot i l'exposat, en el dia a dia es produeixen situacions que ens poden fer dubtar de si estem davant d'una o altra situació perquè, encara que encarreguem un tractament, el destinatari tractarà les dades pel seu compte i sota la seva responsabilitat, determinant les fins i els mitjans del tractament.

A continuació, relacionem una sèrie d'activitats que encara que en principi poguessin semblar ET, resulten RT. En aquesta tessitura ens podem trobar amb les empreses externes següents:

  • VIGILÀNCIA DE LA SALUT: l'accés a la informació relativa a la salut de la persona treballadora es limita al personal mèdic i a les autoritats sanitàries que els presten el servei de vigilància de la salut, sense que es pugui facilitar a l'empresari o altres persones cap informació en aquest sentit, sense el consentiment exprés de l'interessat (Llei 31/1995, de 8 de novembre de Prevenció de Riscos Laborals).
  • MÚTUA D'ACCIDENTS D'ACCIDENTS DE TREBALL I EEPP: intervindran en qualitat de RT respecte dels tractaments de dades personals que efectuïn en l'exercici de les funcions que el Reial Decret Legislatiu 8/2015, de 30 d'octubre, pel qual s'aprova el text refós de la Llei General de la Seguretat Social els atribueix, quan les empreses i les persones treballadores per compte propi contracten les contingències professionals, la prestació econòmica per incapacitat temporal derivada de contingències comunes i la protecció per cessament d'activitat, ja que, en aquests supòsits, l'accés a les dades per part de les Mútues és necessari per les funcions que té atribuïdes legalment.
  • BANCS: segons criteris de l'AEPD, ens trobem davant d'una cessió de dades, atès que les dades transmeses seran incorporades als fitxers de l'entitat financera, que procedirà al tractament per a fins que els són propis, és a dir, la gestió de cobraments d'acord amb la pràctica habitual en les relacions comercials entre clients i entitats bancàries.
  • ASSEGURADORES, CRÈDIT I CAUCIÓ: l'entitat asseguradora realitza diversos tractaments amb les dades dels assegurats, decidint-ne l'ús i la finalitat en establir les condicions generals i particulars de la pòlissa i les adhesions individuals dels assegurats, estem en un supòsit de cessió de dades. L'asseguradora té una habilitació legal contemplada a la Llei 20/2015, de 14 de juliol, d'ordenació, supervisió i solvència de les entitats asseguradores i reasseguradores, comunament coneguda com a “LOSSEAR”, a l'article 99 estableix que “Les entitats asseguradores podran tractar les dades dels prenedors, assegurats, beneficiaris o tercers perjudicats, així com dels seus drethavents sense necessitat de comptar amb el seu consentiment als únics efectes de garantir el ple desenvolupament del contracte d'assegurança i el compliment de les obligacions establertes en aquesta Llei i en les disposicions de desenvolupament”.
  • SERVEI POSTAL, TRANSPORT O MISSATGERIA: les obligacions legals aplicables a les empreses de servei postal, transport i missatgeria (Llei 43/2010, de 30 de desembre, del servei postal universal, dels drets dels usuaris i del mercat postal) impedeixen enquadrar-les a la figura d'encarregat, ja que queden sotmeses a normativa específica subjecta a secret professional, confidencialitat, protecció de dades i deures de fidelitat a la gestió de l'enviament; de manera que la seva activitat ha d'atendre i respectar aquests compromisos. Aquestes obligacions específiques converteixen aquests tipus d'empreses en RT perquè determinen la manera com es duu a terme el servei contractat, a més d'incorporar les dades facilitades en els seus propis sistemes per a finalitats pròpies.
  • SERVEIS DE PROCURA: el procurador/a tracta les dades personals pel seu compte i amb finalitats propis, això és la representació del client en tota mena de processos. Els jutjats dirigeixen les seves resolucions directament als procuradors. Els procuradors presten els seus serveis directament als clients, no als advocats.
  • NOTARIA: com en els casos de serveis de procura o advocacia, el/la notari determina els fins i els mitjans del tractament, i en cap moment seguirà instruccions del responsable.
  • AUDITORS DE COMPTES, SOCIETATS D'AUDITORIA: la independència i altres obligacions legals exigides als auditors, com ara la custòdia de documentació, (Llei 22/2015 d'Auditoria de Comptes) impedeix que quedin realitzades la seva activitat sotmeses a les instruccions de l'entitat auditada.
  • AGÈNCIES DE VIATGES, HOTELS, COMPANYIES AÈRIES: les obligacions legals exigides a aquestes entitats per a diferents tractaments de dades personals com puguin ser conservació o cessió impedeixen que puguin dur a terme la seva activitat seguint les instruccions de l'entitat que els contracta.
  • SERVEIS DE TELEFONIA: les obligacions legals exigides a aquestes entitats, com ara la conservació de dades, impedeix que facin la seva activitat sotmesos a les instruccions de l'entitat que els contracta.
  • SERVEIS D'INTERNET: les obligacions legals exigides a aquestes entitats, com de conservació de dades, impedeix que quedin realitzades la seva activitat sotmeses a les instruccions de l'entitat que les contracta.

També hi ha altres activitats que poden intervenir com RT o ET segons els serveis que prestin, per exemple els advocats.

  • SERVEIS D'ADVOCACIA: l'advocat/da serà destinatari de dades (RT) quan es dedica al lliure exercici de la seva professió actuant en representació dels seus clients per mediar en assumptes judicials o extrajudicials tractant pel seu compte les dades personals.

    En canvi, intervindrà com a encarregat (ET), per exemple:
    • Quan els encarreguen una "due diligence" que requereix accedir al llistat de persones treballadores.
    • Quan us encarreguen obtenir un Número d'Identificació d'Estranger (NIE) per a les persones indicades pel vostre client.
    • Quan fan una investigació d'una denúncia rebuda a través del canal de denúncies d'una empresa.
    • En casos en què el despatx rep un encàrrec d'un altre professional o despatx per a la defensa lletrada d'un assumpte, és a dir, “externalitza” un col·laborador extern, un altre professional.
    • En portar assumptes per a entitats bancàries, asseguradores, grups d'empreses, on s'estableixen convenis de col·laboració.
    • A l'externalització de l'assessorament en matèria de dret laboral, o al mateix servei de consultoria en protecció de dades.
    • A despatxos professionals on existeix una firma principal que engloba els diferents professionals autònoms.
    • En casos d'assessorament jurídic continuat (assessorament a empreses en què es duu la gestió de les seves obligacions fiscals, laborals, comptables, propi a les assessories jurídiques, gestories, etc.)

I com els advocats (que de vegades actuen com a RT i altres com a RT), hi hauria molts altres professionals: agents tributaris, assessors fiscals, assessors financers, etc.