En muchas ocasiones diferenciar cuando estamos ante accesos por cuenta de terceros (encargos de tratamiento) o una cesión de datos no es tarea fácil. Por ello, intentaremos aclarar cuándo nos encontramos en una u otra situación y qué obligaciones en materia de protección de datos se derivan de ello.
Por un lado, el artículo 3 g) de la LOPD, establece que: «se entenderá por encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento«.
El RDLOPD 1720/2007 completa esta definición «(…) como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados».
Por otro, se entiende como cesión o comunicación de datos, el tratamiento de datos que supone su revelación a una persona distinta del interesado.
A priori, parece que es sencillo diferenciar ambas casuísticas. Estaremos ante un acceso por cuenta de terceros cuando,existiendo una prestación de servicios, esa prestación conlleve, por parte del encargado, un tratamiento de datos de carácter personal por cuenta del responsable del fichero, es decir, el responsable seguirá decidiendo sobre la finalidad, contenido y uso del tratamiento, aunque no lo realiza materialmente (art.5.q) RD1720/2007). Esto no sucede en las cesiones de datos, en las que ambas partes son responsables del fichero.
A pesar de lo antedicho, en el día a día se producen situaciones que pueden hacernos dudar de si estamos ante una u otra situación, por ejemplo, cuando una empresa proporciona datos de sus empleados a la mutua, o a una compañía de seguros, etcétera ¿estamos ante una cesión o un encargo de tratamiento?
Si bien es cierto que, casi siempre, deberemos recurrir a la norma específica que aplique en cada caso, el artículo 20.1 párrafo tres del RDLOPD establece «(… ) se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado«.
Un claro ejemplo de ellos, se produce en el caso de las mutuas, donde el acceso a la información médica de carácter personal se limita al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas, sin consentimiento expreso del trabajado (Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales) – Informe jurídico de la AEPD 189/2008.
Una vez realizado el trabajo de análisis necesario para determinar encada caso, si estamos ante un encargo de tratamiento o una comunicación de datos, ¿cuáles son los siguiente pasos a seguir? Contaremos los mismos en el próximo post.
Continúa aquí.