Cuando estamos ante un Encargado de tratamiento o ante un destinatario de datos

A veces resulta complicado diferenciar cuando una empresa actúa como encargado del tratamiento o estamos ante un destinatario de datos o cesión de datos. Además es importante conocerlo debido a las diferentes obligaciones legales de cada caso.  

¿Cuándo estamos ante una u otra situación?

Encargado de tratamiento (ET) es la entidad que trata datos personales por cuenta del responsable del tratamiento (RT). Luego en principio todas las entidades contratadas por un RT para que les preste un servicio que precise tratar datos personales responsabilidad del RT serían ET, ya que todas realizan el tratamiento por encargo y por cuenta del RT. 

Destinatario de datos son aquellas entidades a las que un Responsable de tratamiento les ceda o comunique datos personales.

En una cesión de datos la entidad que hace el servicio, trata los datos personales por su cuenta, o sea sin seguir las instrucciones del Responsable. Por ejemplo: un concesionario de automóviles que cede los datos de sus clientes a una financiera para que le gestione un crédito.

El encargado de tratamiento es aquel que presta un servicio en el que está tratando los datos personales por cuenta de una empresa que es la responsable del tratamiento.

El encargado de tratamiento, trata los datos siguiendo las instrucciones de la empresa responsable. Ejemplo una Asesoría laboral o fiscal de una empresa

Así pues, Cuando estamos ante un encargo de tratamiento tenemos una empresa que es la responsable. Ésta empresa encarga el tratamiento a otra empresa que es la encargada del tratamiento. Sin embargo en el caso de una cesión de datos. Tanto la que cede los datos como la que los recibe, ambos son responsables del tratamiento. 

No siempre es fácil determinar si un prestador de servicios interviene como encargado del tratamiento o como destinatario de datos. Nos puede facilitar su identificación responder a estas preguntas: 

  • ¿Quién determina los fines y los medios del tratamiento?. 
  • ¿El prestador de servicios está obligado a seguir únicamente nuestras las instrucciones? 
  • ¿Podemos obligar al prestador del servicio a suprimir los datos o a que nos los devuelvan y que no se queden ninguna copia? 
En función de las respuestas podemos estar ante una u otra situación

¿Cuándo estamos ante un encargado de tratamiento?

  • Siempre que el prestador del servicio no determine los fines ni los medios del tratamiento?. 
  • Siempre que el prestador de servicios esté obligado a seguir únicamente las instrucciones del responsable? 
  • Siempre que el prestador esté obligado a suprimir los datos o a que se devuelvan y que no se queden ninguna copia? 

Implicaciones legales en el caso de una cesión de datos

La entidad que cede o comunica los datos personales a otro responsable

Para que la comunicación de datos personales sea licita, se necesita alguna de las siguientes bases jurídicas legitimadoras. La mayoría de las veces será el consentimiento, aunque también puede ser una obligación legal, o la ejecución de contrato, así como el interés vital, público o legítimo. 

Además con carácter previo a la cesión de datos, se deberá informar al interesado de las categorías de destinatarios a quien se prevé comunicar sus datos. 

La entidad destinataria que recibe los datos personales de otro responsable

El destinatario estará obligado, como nuevo Responsable de Tratamiento de los datos recibidos, a informar del tratamiento al interesado y a comunicarle dicha información: en un plazo máximo de 1 mes; o en el momento de la primera comunicación con el interesado; o en el momento en que se revelen los datos a otro destinatario.  Salvo que el interesado ya disponga de la información; o sea imposible o suponga un esfuerzo desproporcionado (en este caso se podría publicar en la página web corporativa) u otras excepciones establecidas en la legislación vigente. 

¿Es necesario suscribir un contrato de cesión de datos entre el Responsable de Tratamiento y el responsable receptor de los datos?

Aunque el GDPR no regula la necesidad de suscribir un contrato de cesión de datos entre el Responsable de Tratamiento emisor y el Responsable de Tratamiento receptor de datos, sí que es recomendable establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión. Esto es especialmente para el RT receptor porque debe poder demostrar que ha obtenido los datos lícitamente, ya que no se los ha facilitado directamente el interesado. 

A veces ocurre que el encargado de tratamiento o el destinatario de los datos terminan tratando los datos por su cuenta y bajo su responsabilidad, determinando los fines y los medios de tratamiento. 

A continuación  hacemos una relación no exhaustiva de actividades que, aunque en principio pudiesen parecer Encargados de Tratamiento y resultan Responsables de Tratamiento: 

Vigilancia de la salud, Mutuas de accidentes de trabajo y EEPP, Bancos, Procuradores, notarias, Agencias de viajes, Hoteles, Entidades organizadoras , centros sanitarios.

También existen otras actividades que pueden intervenir como Responsables o como Encargados de tratamiento según los servicios que presten, por ejemplo los abogados, agentes tributarios, asesores fiscales, asesores financieros, etc. 

Abrir chat
¿Qué necesitas?
¡Hola! Estoy aquí para ayudarte. ¿Qué necesitas?