Cuando una empresa externa es encargado de tratamiento o destinatario de datos

Según el reglamento (art. 4.8), encargados de tratamiento (ET) son los que realizan un tratamiento por encargo del responsable del tratamiento (RT). Siguiendo esta definición, todas las empresas que contrata un RT y que necesitan tratar datos personales para prestar el servicio serían ET, ya que todas realizan el tratamiento por encargo del RT.

En el art. 4.9 se definen los DESTINATARIOS como los que reciben datos (de un RT o ET). No existe un artículo específico para regular las cesiones de datos a destinatarios como existía en la LOPD, por lo que, bajo nuestro punto de vista, todos serían ET excepto si nos comunican que se hacen RT de los datos recibidos, lo cual debe estar legitimado ya que:

• la finalidad de la cesión debe estar relaciona con la finalidad del tratamiento.
• deberemos informar al interesado que cedemos datos a un DESTINATARIO en concreto o una categoría de destinatarios en general.

 
El art. 28.10 del encargado de tratamiento dice: si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento, por lo que, si este tipo de empresas determinan por su cuenta los fines y medios del tratamiento, serán RT y consecuentemente será una cesión de datos.

A tener en cuenta que un ET no puede determinar por su cuenta los fines y medios del tratamiento sin la autorización del RT, ya que infringiría el GDPR, considerándose esta infracción como grave (art.73 LOPDGDD).

Para despejar dudas siempre realizamos una pregunta que puede determinar el tipo de relación:

¿El RT puede obligar a eliminar los datos al ET?

• Si puede, será ET.
• Si no puede (por una obligación legal o por las características de su actividad), será DESTINATARIO, o las dos cosas, si hay datos que sí y datos que no.

En esta tesitura nos podemos encontrar estas empresas externas:

• VIGILANCIA DE LA SALUD
• MUTUA DE ACCIDENTES LABORALES
• BANCOS (guardan las transacciones y movimientos bancarios)
• ASEGURADORAS, CRÉDITO Y CAUCIÓN
• SERVICIO POSTAL O MENSAJERÍA (guardan información del envío)
• SERVICIOS DE TELEFONÍA (guardan información de llamadas)
• SERVICIOS DE INTERNET (guardan información de conexiones)
• SERVICIOS JURÍDICOS: ABOGADOS, PROCURADORES, NOTARIOS (guardan sus expedientes)
• AUDITORES DE CUENTAS, SOCIEDADES DE AUDITORÍA (por obligación legal tienen independencia respecto a la empresa auditada y a la conservación de la información)
• Y TODOS LOS ET QUE PRECISAN GUARDAR DATOS UNA VEZ TERMINADO EL CONTRATO DE SERVICIOS CON EL RT.

 
En todos estos casos tendríamos que pensar que serán DESTINATARIOS, a la vez que también pueden ser ET porque se les encarga un tratamiento.

Mientras la AC no disponga lo contrario, todos estos tipos de empresas las consideraremos DESTINATARIOS siempre y cuando nos firmen el contrato como tal. Pero debemos asegurarnos que lo firman, a diferencia de los organismos públicos que el GDPR les exime de ser DESTINATARIOS por realizar el tratamiento para el cumplimiento de una Ley que regula sus actividades. Dentro de este apartado la AEPD pone a la VIGILANCIA DE LA SALUD y MUTUA DE ACCIDENTES LABORALES porque dice que el tratamiento está regulado por una Ley que les obliga a ser RT.

La PREVENCIÓN DE RIESGOS LABORALES (PRL) es considerada ET ya que accede a los datos por cuenta del RT y éste puede obligarle a eliminar los datos.
 
 
OBLIGACIONES PARA LA CESIÓN DE DATOS COMO DESTINATARIO
 
Obligaciones del RT emisor de datos a un DESTINATARIO

- Informar de la cesión de datos al interesado por ser necesario para alcanzar los fines del tratamiento (Art. 13.1.e).
- Proteger estos datos en la medida que debe informar al DESTINATARIO que solo los puede tratar para la finalidad autorizada por el interesado y que a partir de la transmisión será RT de los mismos (Art. 24.1 y 2).
 
Obligaciones del DESTINATARIO receptor de datos

- Garantizar que los datos se han obtenido lícitamente (Artículo 6) y que se ha informado de dicha cesión al interesado (Art. 13.1.e).
- Informar de los fines a que se destinan los datos al interesado, que deben coincidir con los autorizados por el interesado (Art. 14.1.c).
- Comunicar la información del tratamiento al interesado en los plazos que establece el Reglamento (Art 14.3).
 
Contrato de DESTINATARIO de datos

Para poder demostrar cualquiera de las partes que la cesión de datos es lícita es recomendable establecer un contrato o acuerdo donde se especifiquen estos términos, excepto cuando el DESTINATARIO es una autoridad u organismo público en el ejercicio de sus funciones públicas basadas en la legislación vigente (Artículo 14.5.c).
 
 
Normativa aplicable
 
Artículo 24 Responsabilidad del responsable del tratamiento

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
 
Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
...
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
 
Artículo 14 Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
...
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
 ...
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
....
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.