Ir al contenido principal
Encargado del tratamiento

Encargado del tratamiento: algunos dicen que son encargados y no lo son.

Una de las dudas más habituales en protección de datos es la diferencia entre encargado del tratamiento y responsable del tratamiento según el Reglamento General de Protección de Datos (RGPD).

En la práctica profesional es muy frecuente encontrar situaciones en las que una empresa afirma que un tercero es su encargado del tratamiento, cuando en realidad lo que existe es una cesión o comunicación de datos personales.

La diferencia es importante. Si la relación es realmente un encargo del tratamiento, debe formalizarse el contrato previsto en el artículo 28 del RGPD. Pero si lo que existe es una cesión de datos, el tercero pasa a ser responsable del tratamiento, con su propia base jurídica y sus propias obligaciones.

El problema surge cuando se intenta “encajar” una relación dentro del acceso a datos por cuenta de terceros simplemente porque existe acceso a datos personales. Sin embargo, no todo acceso a datos por parte de un tercero implica que estemos ante un encargado del tratamiento.

A continuación, vemos algunos ejemplos habituales donde muchas organizaciones consideran que existe un encargo del tratamiento cuando, en realidad, estamos ante responsables independientes.

Qué diferencia hay entre responsable y encargado del tratamiento

El criterio clave que establece el RGPD es relativamente sencillo.

Un encargado del tratamiento trata los datos únicamente siguiendo las instrucciones del responsable del tratamiento y no decide por sí mismo ni los fines ni los medios esenciales del tratamiento.

En cambio, un responsable del tratamiento es quien determina los fines y los medios del tratamiento de los datos personales.

Cuando un tercero tiene autonomía real en el uso de los datos, obligaciones legales propias o finalidades independientes, lo habitual es que estemos ante dos responsables del tratamiento, lo que implica que existe una comunicación o cesión de datos personales.

Bancos ¿son encargado del tratamiento?

Un caso bastante frecuente se produce cuando una empresa comunica datos de clientes o trabajadores a un banco para gestionar pagos, financiación o domiciliaciones.

A veces se plantea esta relación como si el banco actuara como encargado del tratamiento. Sin embargo, las entidades financieras operan bajo su propia normativa sectorial y están sujetas a múltiples obligaciones regulatorias.

El banco decide qué controles aplicar, cómo gestionar los datos dentro de sus sistemas y cómo cumplir con sus obligaciones legales (por ejemplo en materia de prevención del blanqueo de capitales). Por ello, no actúa siguiendo instrucciones del cliente, sino dentro de su propia actividad.

En este contexto, el banco actúa como responsable del tratamiento independiente y el acceso a los datos constituye una comunicación de datos.

Empresas de Trabajo Temporal (ETT)

Otro ejemplo habitual se produce con las Empresas de Trabajo Temporal (ETT).

Cuando una empresa comunica datos de candidatos o trabajadores a una ETT para cubrir puestos de trabajo, en ocasiones se documenta la relación como si fuera un encargo del tratamiento.

Sin embargo, la ETT desarrolla su propia actividad empresarial: gestiona procesos de selección, evalúa candidatos y trata los datos conforme a sus propias obligaciones laborales y legales.

En consecuencia, la ETT no actúa siguiendo instrucciones del cliente, sino que decide cómo desarrollar el proceso de selección, por lo que normalmente actúa como responsable del tratamiento.

Empresas de transporte o mensajería

Otro supuesto muy común es el de las empresas de transporte o mensajería que reciben datos de clientes para realizar entregas.

Para poder realizar el servicio, el transportista suele disponer de datos como el nombre, la dirección o el teléfono del destinatario. A primera vista podría parecer que simplemente accede a los datos por cuenta de la empresa que vende el producto.

Sin embargo, la empresa de transporte organiza su propio sistema logístico, gestiona incidencias de reparto, decide cómo realizar la entrega e incluso puede contactar directamente con el destinatario.

Por ello, en muchos casos actúa como responsable del tratamiento independiente, y el envío de esos datos constituye una cesión de datos necesaria para la prestación del servicio.

Empresas de leasing o renting de vehículos

También es habitual que, en contratos de leasing o renting de vehículos, la empresa comunique datos de los trabajadores/conductores a la entidad financiera o a la empresa arrendadora.

En algunos casos se intenta formalizar esta relación mediante un contrato de encargo del tratamiento, pero la empresa de leasing desarrolla su propia actividad financiera o de arrendamiento.

Esto implica que gestiona contratos, evalúa riesgos, aplica controles de cumplimiento normativo y trata los datos dentro de su propio sistema de gestión.

En consecuencia, la empresa de leasing suele actuar como responsable del tratamiento independiente, no como encargado.

Servicios de prevención de riesgos laborales

Otro ejemplo habitual se produce cuando una empresa facilita datos de trabajadores a un servicio externo en cumplimiento de la Ley de Prevención de Riesgos Laborales.

Aunque el servicio accede a datos personales e incluso a información de salud, su actividad está regulada por normativa específica y tiene obligaciones profesionales propias.

Estos servicios determinan qué información necesitan, cómo realizar evaluaciones o reconocimientos médicos y cómo gestionar los datos conforme a la normativa aplicable.

Por ello, normalmente actúan como responsables del tratamiento, no como encargados.

Conclusión: no todo que accede a datos es un encargado del tratamiento

En materia de protección de datos es bastante habitual que muchas relaciones se documenten automáticamente mediante un contrato de encargo del tratamiento, incluso cuando jurídicamente no corresponde.

Sin embargo, calificar erróneamente una cesión de datos personales como si fuera un acceso a datos por cuenta de terceros puede generar problemas de cumplimiento: bases jurídicas incorrectas, políticas de privacidad inexactas o contratos mal planteados.

Antes de firmar un contrato de encargo del tratamiento conviene hacerse una pregunta sencilla:

¿El tercero trata los datos únicamente siguiendo instrucciones o también toma decisiones propias sobre el tratamiento?

En muchos casos, la respuesta demuestra que algunos dicen que son encargados del tratamiento… pero en realidad no lo son.

Autor: Victor Roselló, Abogado.

Si necesitas ayuda o asesoramiento ¡contáctanos!




    Acepto recibir el boletín de noticias

    Información sobre protección de datos:

    Denominación social: LEGAL IT GLOBAL 2017, SLP.

    Finalidad: Atender tu petición, envío Boletín.

    Legitimación: Cumplimiento prestación servicio. Consentimiento.

    Destinatarios: Tus datos no serán compartidos con terceros.

    Derechos: Accede, rectifica o suprime los datos. Puedes ejercer derechos mencionados en Pol. Privacidad.

    Denominación social:

    LEGAL IT GLOBAL 2017, SLP

    Finalidad:
    Prestar el servicio.

    Envío del Boletín informativo.

    Legitimización:
    Cumplimiento de la prestación del servicio.

    Consentimiento.

    Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Consulta la Política de Protección de datos completa aquí.

    ¿Quieres estar en el día de toda la actualidad jurídica?

    Recibe nuestro boletín con noticias, artículos y acontecimientos.


    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.