Skip to main content
Encargado del tratamiento

Encarregat del tractament: alguns diuen que son encarregats del tractament i no ho son

Una de les dubtes més habituals en protecció de dades és la diferència entre encarregat del tractament i responsable del tractament segons el Reglament General de Protecció de Dades (RGPD).

En la pràctica professional és molt freqüent trobar situacions en què una empresa afirma que un tercer és el seu encarregat del tractament, quan en realitat el que existeix és una cessió o comunicació de dades personals.

La diferència és important. Si la relació és realment un encàrrec del tractament, cal formalitzar el contracte previst a l’article 28 del RGPD. Però si el que existeix és una cessió de dades, el tercer passa a ser responsable del tractament, amb la seva pròpia base jurídica i les seves pròpies obligacions.

El problema apareix quan s’intenta “encaixar” una relació dins de l’accés a dades per compte de tercers simplement perquè hi ha accés a dades personals. No obstant això, no tot accés a dades per part d’un tercer implica que estiguem davant d’un encarregat del tractament.

A continuació, veiem alguns exemples habituals en què moltes organitzacions consideren que hi ha un encàrrec del tractament quan, en realitat, estem davant de responsables independents.

Quina diferència hi ha entre responsable i encarregat del tractament

El criteri clau que estableix el RGPD és relativament senzill.

Un encarregat del tractament tracta les dades únicament seguint les instruccions del responsable del tractament i no decideix per si mateix ni els fins ni els mitjans essencials del tractament.

En canvi, un responsable del tractament és qui determina els fins i els mitjans del tractament de les dades personals.

Quan un tercer té autonomia real en l’ús de les dades, obligacions legals pròpies o finalitats independents, el més habitual és que estiguem davant de dos responsables del tractament, cosa que implica que hi ha una comunicació o cessió de dades personals.

Bancs: són encarregats del tractament?

Un cas molt freqüent es produeix quan una empresa comunica dades de clients o treballadors a un banc per gestionar pagaments, finançament o domiciliacions.

A vegades es planteja aquesta relació com si el banc actués com a encarregat del tractament. No obstant això, les entitats financeres operen sota la seva pròpia normativa sectorial i estan subjectes a múltiples obligacions regulatoris.

El banc decideix quins controls aplicar, com gestionar les dades dins dels seus sistemes i com complir amb les seves obligacions legals (per exemple en matèria de prevenció del blanqueig de capitals). Per això, no actua seguint instruccions del client, sinó dins de la seva pròpia activitat.

En aquest context, el banc actua com a responsable del tractament independent i l’accés a les dades constitueix una comunicació de dades.

Empreses de Treball Temporal (ETT)

Un altre exemple habitual es produeix amb les Empreses de Treball Temporal (ETT).

Quan una empresa comunica dades de candidats o treballadors a una ETT per cobrir llocs de treball, de vegades es documenta la relació com si fos un encàrrec del tractament.

No obstant això, l’ETT desenvolupa la seva pròpia activitat empresarial: gestiona processos de selecció, avalua candidats i tracta les dades d’acord amb les seves pròpies obligacions laborals i legals.

En conseqüència, l’ETT no actua seguint instruccions del client, sinó que decideix com desenvolupar el procés de selecció, per la qual cosa normalment actua com a responsable del tractament.

Empreses de transport o missatgeria

Un altre supòsit molt comú és el de les empreses de transport o missatgeria que reben dades de clients per fer lliuraments.

Per poder realitzar el servei, el transportista sol disposar de dades com el nom, l’adreça o el telèfon del destinatari. A primera vista podria semblar que simplement accedeix a les dades per compte de l’empresa que ven el producte.

No obstant això, l’empresa de transport organitza el seu propi sistema logístic, gestiona incidències de repartiment, decideix com fer el lliurament i fins i tot pot contactar directament amb el destinatari.

Per això, en molts casos actua com a responsable del tractament independent, i l’enviament d’aquestes dades constitueix una cessió de dades necessària per a la prestació del servei.

Empreses de leasing o renting de vehicles

També és habitual que, en contractes de leasing o renting de vehicles, l’empresa comuniqui dades dels treballadors/conductors a l’entitat financera o a l’empresa arrendadora.

En alguns casos s’intenta formalitzar aquesta relació mitjançant un contracte d’encàrrec del tractament, però l’empresa de leasing desenvolupa la seva pròpia activitat financera o d’arrendament.

Això implica que gestiona contractes, avalua riscos, aplica controls de compliment normatiu i tracta les dades dins del seu propi sistema de gestió.

En conseqüència, l’empresa de leasing sol actuar com a responsable del tractament independent, no com a encarregat.

Serveis de prevenció de riscos laborals

Un altre exemple habitual es produeix quan una empresa facilita dades de treballadors a un servei extern en compliment de la Llei de Prevenció de Riscos Laborals.

Tot i que el servei accedeix a dades personals i fins i tot a informació de salut, la seva activitat està regulada per normativa específica i té obligacions professionals pròpies.

Aquests serveis determinen quina informació necessiten, com fer avaluacions o reconeixements mèdics i com gestionar les dades conforme a la normativa aplicable.

Per això, normalment actuen com a responsables del tractament, no com a encarregats.

Conclusió: no tot accés a dades és un encàrrec del tractament

En matèria de protecció de dades és força habitual que moltes relacions es documentin automàticament mitjançant un contracte d’encàrrec del tractament, fins i tot quan jurídicament no correspon.

No obstant això, qualificar erròniament una cessió de dades personals com si fos un accés a dades per compte de tercers pot generar problemes de compliment: bases jurídiques incorrectes, polítiques de privacitat inexactes o contractes mal plantejats.

Abans de signar un contracte d’encàrrec del tractament convé fer-se una pregunta senzilla:

El tercer tracta les dades només seguint instruccions o també pren decisions pròpies sobre el tractament?

En molts casos, la resposta demostra que alguns diuen que són encarregats del tractament… però en realitat no ho són.

Autor: Victor Roselló, Advocat.

Si necessites ajuda o tens dubtes, contacta’ns!


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Butlletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
    Més informació
    Consulta la Política de Privacitat.

    Vols estar al dia de tota l'actualitat jurídica?
    Rep el nostre butlletí amb notícies, articles i esdeveniments.
    Subscriu-te

    Nosaltres
    Serveis
     
    cipp certification
    Powered by  GDPR Cookie Compliance
    Resum de la privadesa

    Aquest lloc web utilitza galetes per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les galetes s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.