En ocasiones, en la práctica, resulta difícil diferenciar si, en nuestras relaciones con terceros que implican tratamiento de datos, se está produciendo una cesión o comunicación de datos personales (lo que supondría que el tercero adquiriría la condición de responsable) o un acceso por parte de un tercero a datos personales de los cuales somos responsables con la finalidad de prestarnos un servicio (encargado del tratamiento).
El artículo 3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) define al responsable del fichero como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.
Por su parte, el artículo 3.g) de la LOPD define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.
Por tanto, la condición de responsable o encargado del tratamiento se delimita en virtud de la capacidad de decisión sobre la finalidad, contenido o uso del tratamiento que ostentará el responsable; mientras que el encargado se limitará a actuar en virtud de las instrucciones conferidas por el responsable del tratamiento.
La Agencia Española de Protección de Datos (“AEPD”), en su Informe de 20 de julio de 2006, a este respecto, señala que “lo importante para delimitar los conceptos de responsable y encargado del tratamiento no resulta ser la causa que motiva el tratamiento de los mismos, sino la esfera de dirección, control u ordenación que el responsable pueda ejercer sobre el tratamiento de los datos de carácter personal que obran en su poder en virtud de aquella causa y que estaría enteramente vedado al encargado del tratamiento.”
La figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas siendo, en palabras de Davara Rodríguez, las funciones que con mayor frecuencia son objeto de externalización “[…] las relativas al asesoramiento legal y fiscal, entre las que se incluye la gestión de personal y elaboración de nóminas, las actividades de mantenimiento informático, la formación y, en menor medida, la publicidad y la gestión comercial. Por otro lado, tienen cada vez más importancia las prestaciones de servicios de hosting, de destrucción documental o de sistemas de geolocalización.”
Tal y como señalan abundantes informes de la AEPD (entre otros 0227/2010 y el de 27 de julio de 2006),“Para delimitar si en un supuesto concreto nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la LOPD, será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la LOPD tendrá cabida en aquellos casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos sin decidir su finalidad.”
Asimismo, el Grupo del artículo 29 en su Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento, adoptado el 16 de febrero de 2010 señala que: “Este dictamen analiza asimismo el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento a una organización externa. Por lo tanto, para poder actuar como encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste. Esta actividad de tratamiento puede limitarse a una tarea o contexto muy específicos o dejar un cierto grado de discrecionalidad sobre cómo servir los intereses del responsable del tratamiento, permitiendo que el encargado del tratamiento elija los medios técnicos y de organización más adecuados.
Además, la función de encargado del tratamiento no se deriva de la naturaleza de un agente que trata datos personales, sino de sus actividades concretas en un contexto específico y respecto de unos conjuntos muy determinados de datos u operaciones. Hay una serie de criterios que pueden ser de utilidad para determinar la condición de los distintos agentes implicados en el tratamiento: el nivel de instrucciones anteriores dadas por el responsable del tratamiento de datos; el seguimiento por el responsable del tratamiento de datos del nivel del servicio; la visibilidad de cara a los interesados; los conocimientos especializados de las partes; el poder decisorio autónomo que se deja a las distintas partes.”
Por su parte, en el Informe 0290/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos se dice que:
“Asimismo, la doctrina emanada de la Audiencia Nacional ha permitido clarificar el alcance del concepto del encargado del tratamiento. Así, la Sentencia de 28 de septiembre de 2005 recuerda que “La diferencia entre encargado del tratamiento y cesión en algunos casos reviste cierta complejidad, pero como ha señalado esta Sección en la reciente sentencia de 12 de abril de 2005 (recurso 258/2003) lo típico del encargo de tratamiento es que un sujeto externo o ajeno al responsable del fichero va a tratar datos de carácter personal pertenecientes a los tratamientos efectuados por aquél con objeto de prestarle un servicio en un ámbito concreto….. Siendo esencial para no desnaturalizar la figura, que el encargado del tratamiento se limite a realizar el acto material de tratamiento encargado, y no siendo supuestos de encargo de tratamiento aquellos en los que el objeto del contrato fuese el ejercicio de una función o actividad independiente del encargado. En suma, existe encargo de tratamiento cuando la transmisión o cesión de datos está amparada en la prestación de un servicio que el responsable del tratamiento recibe de una empresa externa o ajena a su propia organización, y que ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado”.
En consecuencia, para determinar si nos encontramos en presencia de un encargado del tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado.
Además, obviamente, será preciso que corresponda al responsable el poder de decisión sobre la finalidad que justifica el tratamiento, de modo que si el tratamiento procede precisamente de la voluntad del encargado, aquél tendrá en todo caso la condición de responsable.
Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero.”
En su Informe 0574/20009, la Agencia dice, refiriéndose a la figura del encargado del tratamiento, que:
“Ello sucederá siempre que la empresa que presta el servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar las bases de datos, sin utilizarlas en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la LOPD, requerirá el consentimiento de los afectados.”
En el Informe 0127/2009 se concreta que:
“La existencia de un encargado del tratamiento viene delimitada por la concurrencia de dos características: la imposibilidad de decisión sobre la finalidad, contenido y uso del tratamiento y la inexistencia de una relación directa entre el afectado por el tratamiento y el encargado, que deberá en todo caso obrar en nombre y por cuenta del responsable como si la relación fuese entre éste y el afectado. En este sentido dispone el artículo 20.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, que “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.”
También en el Informe 0177/2010 se dice que:
“Primero, delimitaremos si nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la Ley Orgánica, y para ello será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la Ley Orgánica tendrá cabida en aquellos otros casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad, restituyendo los datos al responsable una vez concluida la prestación contratada con aquél.
A nuestro juicio, en el supuesto planteado, entendemos que cuando la entidad consultante facilite a la empresa los datos de los interlocutores, con la única finalidad de llevar a cabo la prestación de servicios, no pudiendo utilizarlo para ninguna otra y debiendo devolverlos a la entidad consultante, una vez concluida ésta, dicha actividad encaja en la figura del encargado del tratamiento, la cual se regula en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), aunque es el artículo 3.g) de la misma el que la define como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.”
En conclusión, para ser encargado del tratamiento es necesario:
- No tener capacidad de decisión sobre la finalidad, contenido o uso del tratamiento;
- Limitarse a actuar en virtud de las instrucciones conferidas por el responsable.
- No poder aplicar los datos personales a sus propias finalidades.
- Que no se genere un vínculo entre el afectado y el supuesto encargado.
- Que el tratamiento no proceda de la voluntad del encargado.
- Que la actividad no le reporte otro beneficio que el derivado de la prestación del servicio al responsable.
- No utilizar los datos personales en su provecho.
- No comunicarlos, ni siquiera para su conservación, a otras personas.
- Restituir o destruir los datos a la finalización de la prestación contratada.
- Sería posible que el encargado subcontratara, pero únicamente cuando el responsable apodere al encargado para la celebración del segundo contrato en nombre de aquél o que se den los requisitos recogidos en el artículo 21.2 del Reglamento (que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar y, si no comunicar al responsable los datos que identifiquen a dicha empresa antes de proceder a la subcontratación; que el tratamiento por el subcontratista se ajuste a las instrucciones del responsable; que el encargado y el subcontratista formalicen el contrato previsto en el artículo 12 LOPD).
Por otro lado, procede recordar que, con vistas a la aplicación del Reglamento General de Protección de Datos, a partir del 25 de mayo de 2018, la AEPD ha publicado el documento denominado Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, que se puede consultar y descargar en el siguiente enlace. Tal y como advierte la propia AEPD, “Estas directrices están pensadas para ayudar a responsables y encargados durante el periodo transitorio hasta la entrada en aplicación del RGPD. Posteriormente, y de acuerdo con lo previsto en el Reglamento, la AEPD podrá elaborar clausulados modelo que deberán ser aprobados por el futuro Comité Europeo de Protección de Datos. La Comisión Europea también podrá preparar cláusulas contractuales modelo.”