LÍMITES A CONSIDERAR PARA UNA ADECUADA DEFINICIÓN DE LAS FIGURAS DE RESPONSABLE Y ENCARGADO DE TRATAMIENTO
Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.
Con independencia de los roles o responsabilidades que puedan existir a nivel interno en cada organización, y que deberán ser definidos para poder lograr una adecuada y eficaz implantación de esta materia, el nuevo Reglamento Europeo de Protección de Datos Personales o “RGPD”, así como la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, en este sentido, se limitan a señalar tres figuras principales: El Responsable del Tratamiento, el Encargado del Tratamiento y el Delegado de Protección de Datos o “DPD”.
El RGPD define en su artículo 4 al Responsable del Tratamiento como “La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”, estableciendo, a reglón seguido, que Encargado del Tratamiento será “La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. La definición de la figura del DPD, en cambio, se desarrolla en los artículos 37 y siguientes.
Quizás, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o cuando ante una cesión, siendo complicado atribuir cada rol mencionado.
Por tanto, para buscar la solución ideal en cada caso, se hace necesario tener en consideración algunos conceptos clave como los que se desarrollan a continuación.
Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se aportaban argumentos jurisprudenciales de la propia Audiencia Nacional, la cual apuntaba que “La diferencia entre encargado del tratamiento y cesión en algunos casos reviste cierta complejidad, pero … lo típico del encargo de tratamiento es que un sujeto externo o ajeno al responsable del fichero va a tratar datos de carácter personal pertenecientes a los tratamientos efectuados por aquél con objeto de prestarle un servicio en un ámbito concreto…. Siendo esencial para no desnaturalizar la figura, que el encargado del tratamiento se limite a realizar el acto material de tratamiento encargado, y no siendo supuestos de encargo de tratamiento aquellos en los que el objeto del contrato fuese el ejercicio de una función o actividad independiente del encargado. En suma, existe encargo de tratamiento cuando la transmisión o cesión de datos está amparada en la prestación de un servicio que el responsable del tratamiento recibe de una empresa externa o ajena a su propia organización, y que ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado”.
Es decir, se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. El Encargado deberá limitarse a cumplir con las instrucciones del Responsable.
No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. Este dictamen es tremendamente útil porque, a parte de la exposición teórica que siempre rodea estas cuestiones, se ofrecen algunos ejemplos prácticos en donde se delimitan estas posiciones de una forma clara.
En este dictamen, se deja claro que el concepto de Responsable del Tratamiento es un concepto autónomo, en el sentido de que deberá basarse más en un análisis de hechos que en un análisis formal. Además, se ofrece un estudio detallado de la definición de Responsable, dividiéndola en componentes fundamentales, y considerando esencial que cada Responsable pueda “determinar los fines y los medios del tratamiento”, sea una “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo” y decida “solo o conjuntamente con otros” aquellos fines y medios.
También se deja claro la posición del Encargado, argumentando que su “existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento a una organización externa. Por lo tanto, para poder actuar como encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste”. Matiza también que “Esta actividad de tratamiento puede limitarse a una tarea o contexto muy específicos o dejar un cierto grado de discrecionalidad sobre cómo servir los intereses del responsable del tratamiento, permitiendo que el encargado del tratamiento elija los medios técnicos y de organización más adecuados”, concluyendo con una serie de criterios de utilidad que puede ayudar a reconocer dicha figura, como, por ejemplo, “el nivel de instrucciones anteriores dadas por el responsable del tratamiento de datos; el seguimiento por el responsable del tratamiento de datos del nivel del servicio; la visibilidad de cara a los interesados; los conocimientos especializados de las partes; el poder decisorio autónomo que se deja a las distintas partes”.
Por tanto, de la lectura del citado Dictamen, se entiende que se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado. Así, tanto el referido Dictamen como los informes de la AEPD en este sentido, aluden al poder de decisión sobre las finalidades para las que se destinan los datos como el aspecto esencial que define a un auténtico Responsable del Tratamiento. En consecuencia, como explicaba la Audiencia Nacional en el informe antes citado, “…para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado…. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos.
De todo lo expuesto se deduce que, quien actúe como Encargado del Tratamiento no podrá, entre otras posibilidades, decidir sobre la finalidad y medios de tratamiento (aunque sí podrá tener cierta discrecionalidad sobre cómo realizar las actividades por cuenta del Responsable), no podrá generar un vínculo con el interesado en su propio provecho y deberá respetar las indicaciones del Responsable en todo momento.
De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aún habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.
David Barrientos Arboleya
Security & GRC Advisor en @govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
