figuras externas LOPD

Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en figuras internas y  figuras externas. En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Apuntaremos que aunque algunas funciones puedan ser delegadas en empresas externas especializadas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras internas.

En el segundo grupo nos encontramos al Encargado del Tratamiento, al Cesionario y al prestador de servicios sin acceso a datos de carácter personal. Como sabrán, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.

  • Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.

Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“.

Vamos con un ejemplo. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.

Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría tiene que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.

  • Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, “Prestaciones de servicios sin acceso a datos personales”. El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.

En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.

  • Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como “toda revelación de datos realizada a una persona distinta del interesado“. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado“.

Se entiende que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es “alguien” que desea realizar tratamientos “propios” sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.

Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.

 


Jordi Comas

Responsable de consultoria en Grup Qualia

0 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Usamos cookies para garantizar el funcionamiento correcto de nuestro portal web, mejorando la seguridad y para obtener una eficacia y una personalización superiores de los servicios que ofrecemos a los usuarios. Si pulsáis el botón “ACEPTAR” consideraremos que aceptáis todo su uso.
Podéis obtener más información en nuestra POLITICA DE COOKIES.

ACEPTAR
Aviso de cookies