Como es sabido, uno de los primeros aspectos a la hora de analizar el tratamiento de datos personales es definir el rol bajo el cual actúa cada parte, pudiendo ser en calidad de Responsable o Encargado del Tratamiento.
Por lo general, no resulta especialmente complicado detectar estos roles entre los intervinientes. Aun así, existen situaciones en las que, por motivo del contexto, características de la relación o particularidades de los sujetos, asaltan pequeñas dudas acerca del papel que juega cada parte.
Si recordamos lo dispuesto en el Reglamento General de Protección de Datos, el principal rasgo que distingue ambas figuras es la capacidad del Responsable de decidir y determinar los fines y medios del tratamiento. Con ello, podría establecerse una regla casi general en la que, la parte contratante de los servicios de un tercero suele ser quien determina estos aspectos. Ahora bien, a través de distintos pronunciamientos de la Agencia Española de Protección de Datos hemos podido conocer casos concretos en los que, esta teoría, parece tambalear.
Uno de estos ejemplos lo encontramos en la relación de las empresas con los auditores de cuentas. Si aplicásemos la citada “regla general”, los auditores deberían quedar encuadrados en la figura de Encargado del Tratamiento, puesto que es la empresa auditada quien contrata estos servicios y quien es titular de la información accesible. Sin embargo, las notas de independencia y otras obligaciones legales exigidas a los auditores, como de custodia de documentación, (Ley 22/2015 de Auditoría de Cuentas) impide que queden realicen su actividad sometidos a las instrucciones de la empresa auditada. Estaríamos, por tanto, ante una comunicación de datos entre dos Responsables del Tratamiento.
En esta misma línea, pueden apreciarse pronunciamientos de la AEPD (e.j. Informe 38942/2017) en relación con las empresas de transporte y mensajería. El debate se ha venido suscitando en torno a la condición bajo la cual, estas empresas, acceden y tratan los datos del destinatario y remitente facilitados por el cliente para la prestación del servicio. En principio, el servicio de transporte parece realizarse en nombre y por cuenta de los clientes, sobre la base del contrato suscrito y siguiendo sus indicaciones respecto al lugar de entrega, modo de envío, destinatario, etc.
¿Quiere esto decir que debo firmar con las empresas de mensajería un contrato de Encargado conforme el art. 28 RGPD?
Sorprendentemente, la respuesta debe ser negativa.
La AEPD ha señalado que, al igual que ocurre con los auditores, las obligaciones legales aplicables a las empresas de mensajería (Ley 43/2010 del servicio postal universal) impiden encuadrarlas en la figura de Encargado. Ello, en tanto dichos operadores quedan sometidos a normativa específica sujeta a secreto profesional, confidencialidad, protección de datos y deberes de fidelidad en la gestión del envío; de modo que su actividad debe atender y respetar dichos compromisos. Así, estas obligaciones específicas convierten a las empresas de mensajería en Responsables del Tratamiento. Por lo tanto, debe aclararse la premisa anterior ya que, en realidad, es la empresa de mensajería quien determina el modo en que se lleva a cabo el servicio contratado, además de incorporar los datos facilitados en sus propios sistemas para fines propios, reforzando así su rol de Responsable.
En definitiva, no siempre resulta fácil delimitar el papel que juega cada sujeto en el tratamiento de datos personales. De modo que, para una correcta definición de roles, deben tenerse en cuenta entre otros: las regulaciones específicas y exigencias legales aplicables al proveedor; y las posibles obligaciones de independencia y secreto profesional que le impidan quedar sometido a las instrucciones del cliente.
Miriam Romano, Consultora legal Protección de Datos y Nuevas Tecnologías