Relació d'un autònom amb el responsable del tractament


31/01/2020 | Josep Aragonés Salvat

Per ser un autònom una persona física, la relació amb el responsable del tractament podria considerar-se com a personal autoritzat o com a encarregat del tractament?

El GDPR obliga a el responsable del tractament (RT) a establir acords de confidencialitat amb totes les persones físiques, siguin empleats o no, que fan tractaments de dades personals sota la seva responsabilitat.

Per a això, el RT pot subscriure amb l'autònom acords de confidencialitat de dues formes:

  • Directament, com persona autoritzada per tractar dades (art. 29 GDPR).
  • Indirectament, com encarregat del tractamento (ET) (art. 28 GDPR).

En el primer cas hi ha d'haver un compromís directe amb la persona, la qual haurà de realitzar el tractament seguint les instruccions del RT que li seran detallades en l'acord de confidencialitat i en les polítiques de protecció de dades establertes per l'organització. Una "persona autoritzada" pot ser un empleat, soci, voluntari, etc., fins i tot un autònom, si aquest no delega el tractament a altres persones que estiguin al seu càrrec (els seus empleats).

En el segon cas, el RT garantitzarà el compromís de confidencialitat amb l'autònom mitjançant un contracte de prestació de serveis com ET, on també s'hi detalli que haurà de realitzar el tractament seguint les instruccions del RT, les quals han d'incloure que el "personal autoritzat" s'hagi compromès a respectar la confidencialitat. D'aquesta manera l'autònom podrà delegar el tractament als empleats que estiguin al seu càrrec.

Amb aquestes dues possibilitats, el RT pot triar el tipus de relació que establirà amb un autònom, sent les dues opcions vàlides per autoritzar el tractament.

I quan un encarregat del tractament (ET) subcontracta un autònom

Aquest és el cas on pot tenir més rellevància l'elecció del tipus d'acord. Al ser una subcontractació, l'ET hauria d'obtenir l'autorització del RT per subcontractar el servei. Aquesta autorització es pot fer de dues maneres:

  • Amb una autorització expressa del RT per a la subcontractació de el servei. Aquesta opció seria la triada quan l'autònom tingui treballadors al seu càrrec. L'ET ha de subscriure un contracte de sotsencarregat (SubET) amb l'autònom.
  • Amb un acord de confidencialitat de "personal autoritzat" entre l'ET i l'autònom. Aquesta opció seria la més desitjable quan l'autònom no té empleats al seu càrrec, ja que no precisarà de l'autorització expressa del RT per subcontractar el servei i no serà necessari informar-lo de aquest fet.

Normativa aplicable (argumentació)

El GDPR defineix l'ET en l'art. 4.8 com "la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament".

Aplicant a peu de la lletra aquesta definició, qualsevol empleat (persona física) podria considerar-se un ET, però si llegim detingudament l'art. 28 GDPR, veiem que l'ET ha de complir les instruccions rebudes pel RT, i aquestes sempre fan referència a les mesures de seguretat que ha d'aplicar l'ET per protegir les dades. Això passa perquè el RT no té control sobre l'ET ja que, generalment, aquest últim realitza el tractament a les seves instal·lacions i amb les seves mesures de seguretat, alienes a les del RT.

L'únic article del GDPR que fa a el personal que accedeix a dades personals és el 29 i diu que "l'encarregat del tractament i qualsevol persona que actuï sota l'autoritat del responsable o de l'encarregat i tingui accés a dades personals només podran tractar aquestes dades seguint instruccions del responsable, llevat que estiguin obligats a això en virtut de el Dret de la Unió o dels estats membre". Com es pot comprovar, no es refereix a empleats sinó a qualsevol persona.

També, en l'art. 5 LOPDGDD relatiu al deure de confidencialitat, es disposa que "els responsables i encarregats del tractament de dades així com totes les persones que intervinguin en qualsevol fase d'aquest estaran subjectes al deure de confidencialitat a què es refereix l'article 5.1.f) del Reglament (UE) 2016/679"

Art. 5.1.f) GDPR: Les dades personals seran tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»).
 

Vist tot l'anterior, entenem que les persones que actuen sota l'autoritat directa del RT poden considerar-se "persones autoritzades per tractar dades" i amb un acord de confidencialitat seria suficient per garantir la protecció de dades. A tenir en compte que només podrien categoritzar-se com "persones autoritzades" si realitzen el tractament exclusivament en les instal·lacions i amb els mitjans del RT, ja que aquestes persones serien com empleats, amb l'única diferència que no hi haurà un contracte laboral, com, per exemple, succeeix amb els membres de la junta directiva d'un club social, AMPA, etc.
 

Resumint, els professionals externs (autònoms) podran considerar com a personal si compleixen amb tots els requisits següents:
 

  • No tenen empleats al seu càrrec, és a dir són els únics que tractaran les dades.
  • Realitzen el tractament exclusivament a les instal·lacions del RT, o sigui no es duran dades ni els tractaran fora de les instal·lacions del RT.
  • Utilitzen exclusivament els mitjans del RT, o sigui el RT té el control dels sistemes d'informació posats a la seva disposició.
  • Segueixen les instruccions rebudes pel RT i desenvolupen la seva activitat sota les polítiques i/o protocols de protecció de dades del RT.

Si no compleixen algun dels requisits anteriors, els autònoms hauran de considerar encarregats del tractament (ET).