En el segundo grupo, objeto de esta entrada, encontramos al Encargado del Tratamiento (y al Subencargado), al Cesionario y al prestador de servicios sin acceso a datos de carácter personal (DCP en lo que sigue). Como se imaginarán sin conocen la LOPD y su reglamento, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.
- Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la
persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.
Sin embargo, para que la definición quede clara, veamos que entiende
la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones
y procedimientos técnicos de carácter automatizado o no, que permitan
la recogida, grabación, conservación, elaboración, modificación, bloqueo
y cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias“.
Vamos con un par de ejemplos evidentes. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.
Sea ahora la misma empresa A que contrata a la empresa C la gestión de su CAU, que da soporte a usuarios internos y externos. En éste recogen incidencias reportadas por los usuarios de la organización, entre cuyos datos figura el nombre y apellidos del usuario además de otra información de contacto. De nuevo, parece claro que C trata o gestiona DCP de los usuarios de A, por o que de nuevo, es un encargado del tratamiento.
En estos casos, es necesario que la empresa A firme, aparte del contrato de prestación de servicios, un contrato de acceso a datos tal y como especifica el artículo 12.2 de la LOPD: “La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato [...] estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán [...] las medidas de seguridad [...] que el encargado del tratamiento está obligado a implementar.”
Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría ni la empresa de gestión del CAU tienen que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.
Dejémoslo aquí y pasemos al siguiente.
- Prestador de servicios sin acceso a DCP: Aunque la
LOPD no define explícitamente esta figura (no olvidemos que entre la
LOPD y su reglamento hay poco más de 8 años), el reglamento habla de
ella en su artículo 83, “Prestaciones de servicios sin acceso a datos
personales”. El nombre no deja lugar a muchas dudas, en cualquier caso.
En este caso encontraremos a empresas cuya prestación de servicios no
está relacionada con DCP pero que pueden tener un acceso esporádico a
dicha información.
Sigamos con A y veamos un par de casos. Esta empresa ha contratado a
E, una empresa de limpieza, cuyo contrato no está obviamente relacionado
con la gestión de DCP. No obstante, cabe la posibilidad de que en el
desempeño de sus tareas, los empleados de E puedan ver DCP.
La empresa A también ha contratado a una empresa de seguridad, llamémosla por ejemplo F, quien les ha puesto un guardia de seguridad vigilando el perímetro de la empresa. De nuevo, en su trabajo Felipe (que así se llama el guardia) no gestiona DCP, pero es evidente que puede ver personas entrar y salir de la empresa aparte de otros tratamientos esporádicos.
Ahora bien, si a Felipe le dan nuevas atribuciones y pasa a llevar el registro de entrada y salida del personal y de los visitantes, la empresa de seguridad pasa a ser un encargado del tratamiento, al gestionar DCP “por cuenta”, “por encargo”, “en nombre” de la empresa A.
En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.
De nuevo, tampoco en este caso la empresa de seguridad deberá declarar el tratamiento, porque mientras se dedique a la vigilancia perimetral no hay tal tratamiento, y en otro caso es un tratamiento de la empresa A, no suyo. - Cesionario: Por último, llegamos al cesionario, o
receptor de una comunicación de datos. La LOPD define en su artículo
3.i) la cesión o comunicación de datos como “toda revelación de datos
realizada a una persona distinta del interesado”. No obstante, cuando
esta comunicación de datos esté relacionada con una prestación de
servicios, no se considerará cesión de datos, tal y como especifica el
artículo 12.1 de la LOPD: “No se considerará comunicación de datos
el acceso de un tercero a los datos cuando dicho acceso sea necesario
para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No
obstante, se considerará que existe comunicación de datos cuando el
acceso tenga por objeto el establecimiento de un nuevo vínculo entre
quien accede a los datos y el afectado“.
Nótese que esta figura es la más relacionada con infracciones de la
LOPD, ya que a menudo las garantías que deben establecerse para la
cesión de datos (en general, consentimiento del afectado) no se cumplen.
Digámoslo de esta manera, un cesionario es “alguien” que desea realizar
tratamientos “propios” sobre los datos que recibe, y en algunos casos
el usuario no daría su consentimiento para esos tratamientos. A
diferencia de los casos anteriores, dado que existe un nuevo tratamiento
de datos y un nuevo vínculo entre el usuario y la empresa destinataria
de los datos, sí es necesario que la empresa cesionaria declare el
tratamiento correspondiente ante el RGAEPD.
Veamos un par de ejemplos de qué es una cesión de datos.
Imaginemos que la empresa A le proporciona (vende, cambia, envía) los datos de sus empleados a una empresa de telemarketing para que ésta los utilice para sus campañas. En este caso estaríamos hablando de una comunicación de datos legal si se ha solicitado previamente consentimiento al usuario (y por tanto se han proporcionado únicamente los datos de aquellos que han otorgado dicho consentimiento), e ilegal si no ha sido así. Téngase en cuenta que este caso es diferente del caso en el que la gestoría B decide por su cuenta y riesgo utilizar los datos de los empleados de la empresa A para mandarles propaganda sobre declaraciones de impuestos, tal y como indica el artículo 12.4: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad [...] incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento [...]“.
Asimismo, también es diferente al caso en el que la empresa A contrata a la empresa de telemarketing H para realizar una campaña comercial, dado que en este caso se trataría de un encargado del tratamiento y quien podría incurrir en una ilegalidad es la empresa A. Es habitual ver este caso para intentar evitar la LOPD: una empresa española contrata a una empresa india para que envíe información comercial a sus clientes, a cuya entidad (la empresa india) no aplica la LOPD. No obstante, dado que el tratamiento de datos es realizado “en el marco de las actividades de un establecimiento del responsable del tratamiento” (Artículo 3.1.a RDLOPD), le aplica la LOPD.
Veamos para acabar otro caso más legal. La empresa A decide contratar un seguro de salud para sus empleados con la empresa J. Dado que dicho tratamiento de datos no está directamente relacionado con ningún contrato de prestación de servicios entre A y J, se trata de una comunicación de datos para la que A debe solicitar consentimiento. Además, en este caso es evidente que se crea un nuevo vínculo independiente entre el empleado y la empresa aseguradora en el que la empresa A no interviene, que puede mantenerse incluso cuando la relación laboral entre el empleado y la empresa A haya finalizado, si el primero lo desea.
(Nos puedes encontrar también en Twitter: @SecurityArtWork)
Fuente: securityartwork
No hay comentarios:
Publicar un comentario