En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.
Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:
“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.
Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?
Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).
A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:
¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?
Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:
Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.
Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.
Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (Aquí y Aquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.
En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.
Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:
- En primer lugar, dado que la figura del encargado del tratamiento obedece a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de modo que en los supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, el acceso a esos datos no será considerado como una cesión de datos, sino que el tratamiento de los datos se realiza por el encargado en nombre y por cuenta del responsable como si fuera este mismo quien lo lleva a cabo. Por ello, no se considerará comunicación de datos el acceso de un tercero a los datos, cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
- En segundo lugar, la AEPD sigue el criterio de que las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social son, asociaciones debidamente autorizadas por el Ministerio de Trabajo y Asuntos Sociales, cuyo objeto principal es colaborar en la gestión de la Seguridad Social. Queda a elección de los empresarios el optar por la Seguridad Social o por una Mutua, para la protección del personal a su servicio frente a las contingencias de accidente de trabajo y enfermedad profesional.
- En tercer lugar, en el artículo 99 de la Ley General de la Seguridad social se establece la obligación de los empresarios de establecer qué entidad se hará cargo de la protección de sus trabajadores.
Finalmente, la AEPD hace referencia a la obligación legal por parte de los empresarios de comunicar los datos de sus trabajadores a las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, cuando se haya optado por estas como medio de protección de las contingencias. Este matiz es uno de los más importantes a la hora de responder la pregunta que nos planteábamos al inicio de esta publicación:
¿Es necesario firmar un contrato en materia de protección de datos con las Mutuas?
Atendiendo al contenido del informe de la AEPD, debemos decir que no resulta necesario proceder a la firma de un contrato o acto jurídico en materia de protección de datos con las Mutuas, debido a que las estas entidades son consideradas como responsables del tratamiento, manteniendo así la AEPD un criterio que ya había asentado hace años en su Informe 189/2008. En consecuencia, no resulta necesaria la firma de este contrato puesto que la naturaleza de los datos cedidos es necesaria y legalmente establecida, toda vez que la Mutua trata los datos como responsable del tratamiento, de acuerdo con las funciones que tiene legalmente atribuidas, y no como un encargado de tratamiento.
A modo de conclusión, dejar claro que las Mutuas actuarán en calidad de responsables del tratamiento respecto de aquellos tratamientos de datos personales que efectúen en el ejercicio de las funciones que el texto refundido de la Ley General de la Seguridad Social les atribuye, cuando las empresas y los trabajadores por cuenta propia contratan con ellas las contingencias profesionales, la prestación económica por incapacidad temporal derivada de contingencias comunes y la protección por cese de actividad, ya que, como hemos mencionado con anterioridad en tales supuestos, el acceso a los datos por parte de las Mutuas por las funciones que tiene atribuidas legalmente.
En atención a todo lo expuesto, y tras determinar que no es necesario firmar contrato con las Mutuas, nos planteamos lo siguiente, ¿tampoco lo es firmar contrato con las empresas de Prevención de Riesgos Laborales?
A este respecto la AEPD sí que se pronunciaba en el ya mencionado Informe 189/2008, concluyendo que también las empresas de Prevención de Riesgos Laborales tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas. No obstante, habrá que atender a la posibilidad de que la autoridad española de protección de datos se pronuncie a este respecto, confirmando si continúa manteniendo también en este caso, el criterio hasta ahora aplicado.