El meu proveïdor és responsable o encarregat de tractament?


Aquesta pregunta ens sorgeix moltes vegades a l’hora de posar-nos a dissenyar el nostre Registre d’Activitats de Tractament , en realitzar un inventari dels Encarregats de Tractament amb els quals la meva empresa tracta, i també quan anem a enviar els contractes de prestació de serveis en els quals s’encarrega el tractament de les dades a un dels nostres proveïdors, com per exemple en el cas de treballar amb missatgeries, o en el cas de cedir dades sent una consulta mèdica a un centre que realitza diagnòstic.

Sobre la base d’aquests dos exemples anem a explicar i exposar què són aquestes figures, quin paper juguen, i com resolem la relació: realitzant un contracte per encàrrec, o comunicant en les clàusules informatives que cedim dades a aquests tercers? Perquè, encara que de vegades la distinció sembla clara, en la pràctica no sempre és així.

Procedim a definir i tenir clar la definició de Responsable i d’Encarregat de tractament.
El Reglament General de Protecció de Dades (Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016, RGPD), defineix d’una banda, en l’article 4.7 al responsable del tractament com, la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. Per tant, aquesta figura, El Responsable del Tractament decideix i defineix el tractament de les seves dades.
D’altra banda, defineix en l’article 4.8 a l’Encarregat de Tractament com, “ la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Per tant, aquesta figura i seguint les indicacions que marca tant el RGPD com la LOPDGDD (Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals) en relació a l’establiment d’un contracte o acte jurídic en el qual s’estipuli que l’Encarregat actua en nom del Responsable de Tractament per a la realització del tractament de dades.

Tenint clares ambdues figures i la distinció entre elles, podem passar a analitzar els exemples.

1. He de signar amb la meva empresa de missatgeria un contracte de prestació de serveis amb l’objecte de fer un encàrrec de tractament?

En aquest cas hem de tenir en compte que en el context amb la missatgeria cal distingir dos punts clau:

* el primer que es que s’ha de distingir entre les dades personals que van dins del sobre/caixa/etc, als quals el missatger no té accés

* el segon són les dades personals del remitent i destinatari.  

Pel que fa al segon punt, les missatgeries integren les dades de remitent i destinatari a la seva base de dades, decideixen sobre la manera de dur a terme el servei i usen les dades per a les seves finalitats, per tant, passen a ser Responsables de tractament.

L’AEPD en relació amb aquest assumpte és clara i ens diu que en la relació amb les missatgeries no se produce una actuación del consultante como encargado del tratamiento, sino que incorpora los datos personales recabados para sus propios fines, y es él quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, emplea la información obtenida para sus propios fines, integrándola finalmente en sus propias bases de datos, para la prestación del Servicio
En relació al primer punt, les missatgeries tenen una obligació legal de compliment segons l’art. 5 (Llei 43/2010 de 30 de desembre, del Servei postal universal), relatiu al secret de les comunicacions postals, estableix que los operadores postales deberán realizar la prestación de los Servicios con plena garantía del secreto de las comunicaciones postales, (…). Los operadores que presten servicios postales no facilitarán ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario ni a sus direcciones, sin perjuicio de lo dispuesto en el artículo 6”. Afegint l’article 6.1 que “Los operadores postales deberán cumplir con el deber de fidelidad en la custodia y gestión de los envíos postales”.

En definitiva, la Llei estableix obligacions específiques a les missatgeries en matèria de protecció de dades que no casen amb la figura d’Encarregat de Tractament i que, com a operadors postals, sí tenen una obligació en relació a l’enviament, i que si aquestes fossin considerades encarregades de tractament, les obligacions passarien a ser del remitent, cosa que no passa.

Per tant, podem establir que les missatgeries en relació al comentat, són Responsables de tractament i per tant existeix una comunicació de dades entre responsables de tractament. Així ho ha entès l’AEPD, per exemple en el seu informe de 29 de novembre de 2010, en relació amb les dades lliurades per al cobrament de rebuts a través d’una entitat bancària, ja que [no es] “realitza el tractament de les dades cedides d’acord amb les instruccions facilitada pel client, sinó que únicament es posa a la disposició del client la possibilitat de realitzar els pagaments dels rebuts a través de la banca electrònica d’acord amb les finalitats i l’objecte social que els propi en tractar-se d’una entitat bancària“. Per tant, s’excedeixen de les instruccions del responsable del tractament en el tractament de les dades efectuades per aquestes empreses, els qui realitzen la seva activitat per compte del client, però en nom propi.

2. Soc una consulta mèdica i cedeixo les dades a un centre de diagnòstic, haig de signar contracte d’encàrrec de tractament amb ells?

En el present cas, hem d’avaluar si el centre de diagnòstic incorpora les dades de la consulta mèdica a les seves pròpies bases de dades per a les seves pròpies finalitats, i és qui porta i decideix sobre el servei de realització de proves diagnòstiques. En aquest cas el centre de diagnòstic és Responsable de tractament, i existeix una comunicació de dades, per que el centre de diagnòstic rep les dades de la consulta mèdica, i és el centre de diagnòstic com veníem anunciant, qui posteriorment decideix sobre la realització de la prova diagnòstica i actua en el seu propi nom, no per compte de la consulta mèdica.

En el cas que el centre diagnòstic es limiti a realitzar les proves en nom del centre mèdic, no afegeix-hi les dades per les seves pròpies finalitats i no decideixi sobre la realització de les proves, si no que sigui el Centre mèdic qui ho faci, sí serà Encarregat de tractament i per tant haurem de signar el corresponent contracte de prestació de serveis que marca el RGPD en el seu article 28.