Togas.biz

Responsable VS. Encargado del Tratamiento: Reflexiones sobre la Resolución de la AEPD al PS/00185/2022

Actualmente, a pesar de que el Reglamento General de Protección de Datos (en adelante, el “RGPD”) lleva más de cinco años en vigor, hay organizaciones de todos los ámbitos y sectores que siguen sufriendo graves problemas a la hora de distinguir los roles de responsable y encargado del tratamiento.

Esto es así debido a diversas causas, entre las que se encuentran el desconocimiento de la normativa, la complejidad de la situación o la dualidad de las operaciones que se pretenden llevar a cabo.

Dicho lo anterior, a continuación se desarrollará lo establecido en la resolución de la Agencia Española de Protección de Datos (en adelante, la “AEPD”) en el marco del procedimiento sancionador PS/00185/2022, en relación con una reclamación contra el Ministerio de Cultura y Deporte (en adelante, el “Ministerio”), en la que la AEPD impuso a este una sanción de apercibimiento por haber incumplido su deber de información a los interesados y por la incorrecta regulación de su relación con el encargado del tratamiento, todo ello, al considerarlo responsable del tratamiento.

El caso “eBiblio”: cuando las líneas parecen difuminarse

Este caso ilustra perfectamente cómo los roles de responsable y encargado pueden confundirse con facilidad, refrescando ambos conceptos y destacando sus diferencias.

El Ministerio publicó una licitación con la finalidad de encontrar un proveedor que creara e implementase una plataforma para ofrecer un servicio público en línea gratuito de préstamo de libros electrónicos (en adelante, la “plataforma eBiblio”). La entidad Distribuidora Digital de Libros, S.A.U. (en adelante, “LIBRANDA”) resultó ser la adjudicataria de dicha licitación, en la que también se incluían los servicios de mantenimiento ininterrumpido de la plataforma eBiblio y la implementación de aplicaciones móviles.

Las complicaciones surgieron en el momento en que las partes suscribieron el contrato para formalizar la adjudicación, ya que no detallaron sus respectivos roles respecto el tratamiento de datos personales. El contrato suscrito tan solo recogía una obligación genérica por la cual LIBRANDA se sometía a la normativa nacional y europea de protección de datos personales.

Esa falta de regulación abocó a LIBRANDA a elaborar los textos legales que aparecían en la plataforma eBiblio (Términos y Condiciones y Política de privacidad), identificándose a sí misma como responsable del tratamiento de los datos personales de los usuarios que disfrutaran del servicio. Adicionalmente, a lo largo del procedimiento sancionador, el Ministerio se identificó como un simple financiador de la plataforma, no pudiendo ser considerado responsable del tratamiento, al serle imposible acceder directamente a los datos personales de los usuarios del servicio ya que no necesitaba acceder a ellos.

De forma contraria a la visión del Ministerio, la AEPD determinó que este era el responsable del tratamiento y que LIBRANDA actuaba como encargada, por los siguientes motivos:

  • Acceso a los datos: la AEPD determinó la irrelevancia del acceso real a los datos personales, destacando la importancia de identificar qué entidad determinaba los fines y medios del tratamiento.
  • Determinación de los fines y medios: la AEPD dejó claro que el Ministerio decidió por qué y cómo tratar los datos personales de los usuarios, ya que fue quien impulsó la plataforma eBiblio y contrató a LIBRANDA para ello.
  • Regularización de la relación y política de privacidad: a pesar de que la relación contractual entre el Ministerio y LIBRANDA no reflejase perfectamente los roles de cada una y de que la política de privacidad identificase erróneamente a LIBRANDA como "co-controladores” del tratamiento, la AEPD determinó, de nuevo, que el Ministerio impulsó la plataforma eBiblio y determinó cómo debían tratarse los datos personales, con independencia de que LIBRANDA elaborase los documentos o realizase los tratamientos en su nombre.

Adicionalmente, la resolución de la AEPD consideró que el Ministerio vulneró el artículo 13 del RGPD, referente aconl derecho de información de los interesados. Esto es así debido a que el Ministerio permitió que la única información recibida por los usuarios de la plataforma eBiblio fuese facilitada por el encargado del tratamiento, LIBRANDA, que se mostraba como titular y responsable de la misma.

Este es un ejemplo claro que muestra que la confusión de roles puede conllevar ulteriores incumplimientos de la normativa, ya que errar al determinar la posición que debe ocupar cada entidad puede derivar en el incumplimiento de otras obligaciones correspondientes al responsable del tratamiento.

Al margen del caso “eBiblio”: consideraciones generales

Una vez visto el caso de la plataforma eBiblio, es indudable la importancia de determinar correctamente las figuras que deben tomar las partes a la hora de regular su relación y establecer las condiciones en la que prestarán los servicios contratados.

A pesar de que no es común que la normativa especifique los roles que deben tomar las entidades respecto de los tratamientos que realicen en sus operaciones, encontramos algunos ejemplos en los que la propia normativa determina qué entidad es la responsable del tratamiento y cuál debe actuar como encargada de este. Algunos ejemplos son la Disposición adicional vigesimoquinta de la Ley 9/2017, de Contratos del Sector Público[1], los artículos 203 y 204 del Real Decreto-ley 3/2020[2], o incluso, el artículo 33.2 de la Ley Orgánica 3/2018[3]. Estas regulaciones establecen claramente que el ente público será siempre responsable del tratamiento y las empresas privadas, prestadoras de servicios, encargadas del tratamiento.

Volviendo al caso analizado, según la normativa citada anteriormente, LIBRANDA debía actuar como encargada y el Ministerio como responsable, pudiendo evitarse el procedimiento sancionador desde un inicio.

No obstante lo anterior, las organizaciones del sector privado no suelen contar con esta ayuda de la legislación, salvo contadas excepciones como, por ejemplo, en el caso de investigación biomédica o el sector seguros. En consecuencia, deben determinar por sí mismas los roles que deben desempeñar y deben ocuparse de regular correctamente sus relaciones con otras entidades o proveedores, en cumplimiento de la normativa vigente. Por ello, es primordial entender qué rol desarrollar en la operativa diaria de la organización y, en caso de duda, acudir a profesionales en la materia para obtener ayuda al definir claramente qué posición ocupar respecto del tratamiento de datos personales.

Otro recurso muy útil son las Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD, de la European Data Protection Board. En ellas, además de diferenciar claramente los roles del responsable y encargado del tratamiento, se explica de forma amplia cómo debe elegirse un encargado, cómo debe formalizarse el acto jurídico que vincule a las partes y el contenido mínimo de dicho contrato. Adicionalmente, estas directrices recuerdan a los encargados la prohibición de determinar los fines y medios del tratamiento, so pena de ser considerados responsables, junto con las obligaciones derivadas de ello y el enfrentamiento a posibles infracciones.

Reflexiones y lecciones aprendidas

  • No es necesario que el responsable del tratamiento acceda a los datos personales de los interesados para ser considerado como tal, sino que el mero hecho de determinar los fines y medios del tratamiento lo convierte en responsable.
  • Es fundamental regular correctamente la relación entre responsables y encargados, ya que la simple obligación de someterse a la normativa vigente no cumple los estándares exigidos por el RGPD y, en consecuencia, implica el quebrantamiento de las obligaciones en materia de protección de datos.
  • Errar a la hora de determinar el rol a desarrollar respecto de un tratamiento de datos personales puede derivar en otros incumplimientos de la normativa, ya que puede implicar la vulneración de otras obligaciones asignadas a responsables o encargados, respectivamente.

Agradecimientos a Yeray Padilla, abogado del departamento de Tech & Data, por este artículo.

[1] Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

[2] Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales.

[3] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Categoria

Derecho Administrativo - Contratación Administrativa, Derecho Comunitario - Comunitario, TIC - Protección de Datos

Fuente: Fieldfisher

Source
Subscribirse al Directorio Escribir un Artículo

Destacadas

Diapositiva de Fotos

Etiquetas

Acerca de nosotros

Directorio de profesionales

Newsletter

¡Suscríbase a nuestro newsletter para estar al día con las últimas noticias y ofertas!

Contacte con nosotros

Togas.biz
Togas.biz - Newco Professional SL
Deu i Mata, 152
Barcelona, Barcelona 08029
P: +34 606 96 07 82 ( Urgencias )

2024 © Togas.biz - Newco Professional SL. Todos los derechos reservados. Terminos y Condiciones | Política de Privacidad

Actualidad

Auditoría - Auditoría Derecho Administrativo - Administrativo Derecho Administrativo - Consumidores y Usuarios Derecho Administrativo - Contencioso Administrativo Derecho Administrativo - Contratación Administrativa Derecho Administrativo - Energía Derecho Administrativo - Expropiaciones Derecho Administrativo - Medio Ambiente Derecho Civil - Accidentes de Tráfico Derecho Civil - Arrendamientos Derecho Civil - Civil Derecho Civil - Comunidad de Propietarios Derecho Civil - Derecho Contractual Derecho Civil - Derecho de los Consumidores y Usuarios Derecho Civil - Derechos de Imagen Derecho Civil - Familia y Adopciones Derecho Civil - Responsabilidad Civil Derecho Civil - Seguros Derecho Civil - Sucesiones Derecho Comunitario - Comunitario Derecho Constitucional - Constitucional Derecho Financiero - Corporate Finance Derecho Financiero - Derecho Bancario Derecho Financiero - Derecho Financiero Derecho Financiero - Mercados de Valores y de Capitales Derecho Fiscal - Fiscal Derecho Fiscal - Fiscalidad Internacional Derecho Fiscal - Fiscalidad matrimonial y familiar Derecho General - Opinión Derecho Internacional - Internacional Privado Derecho Laboral - Laboral Derecho Laboral - Prevención de Riesgos Derecho Laboral - Seguridad Social Derecho Mercantil - Agroalimentario Derecho Mercantil - Competencia Derecho Mercantil - Compliance - Cumplimiento Legal Derecho Mercantil - Concursal Derecho Mercantil - Consumidores y Usuarios Derecho Mercantil - Contratación Mercantil Derecho Mercantil - Empresa Familiar Derecho Mercantil - Franquicias Derecho Mercantil - Fundaciones y Asociaciones Derecho Mercantil - Fusiones y Adquisiciones Derecho Mercantil - Mercantil Derecho Mercantil - Reclamaciones de Cantidad Derecho Mercantil - Societario Derecho Mercantil - Transportes y Marítimo Derecho Penal - Accidentes de Tráfico Derecho Penal - Consumidores y Usuarios Derecho Penal - Corporate Compliance Derecho Penal - Derecho Penitenciario Derecho Penal - Negligencias Médicas Derecho Penal - Penal Derecho Penal - Penal - Honor e Imagen Derecho Penal - Penal Económico Derecho Penal - Penal Laboral Derecho Penal - Penal Medio Ambiente Derecho Penal - Penal Societario Derecho Procesal - Procesal Extranjería y Nacionalidad - Extranjeria y Nacionalidad Formación - Formación Hipotecario y Registral - Hipotecario y Registral Inmobiliario y Urbanismo - Construcción Inmobiliario y Urbanismo - Inmobiliario Inmobiliario y Urbanismo - Urbanismo Innovación y Emprendimiento - Biotecnología Innovación y Emprendimiento - Nuevas tecnologías, medios y telecomunicaciones Innovación y Emprendimiento - Startups Institucional - Actualidad despachos Institucional - Colegios y Entidades Profesionales Institucional - Organismos Públicos Inversiones en el extranjero - Inversiones en el extranjero Investigación Privada - Investigación Privada Marketing y Gestión - Marketing y Gestión Mediación y Arbitraje - Mediación y Arbitraje Noticias - Despachos News Noticias - Entorno Jurídico Ocio y Deporte - Deportivo Ocio y Deporte - Industria del Ocio Peritaje - Peritaje Prop Industrial e Intelectual - Competencia Prop Industrial e Intelectual - Propiedad Industrial, Patentes y Marcas Prop Industrial e Intelectual - Propiedad Intelectual Sanitario y Farmacéutico - Negligencias Médicas Sanitario y Farmacéutico - Sanitario y Farmacéutico TIC - Audiovisual TIC - Comercio Electrónico TIC - Derecho Informático TIC - Protección de Datos TIC - Telecomunicaciones TIC - TIC

Directorio

Abogados Accidentes de Tráfico Abogados Accidentes Laborales Abogados Alquileres y Arrendamientos Abogados Blanqueo de Capitales Abogados Blockchain Abogados Comercio Electrónico Abogados Comunidad de Propietarios Abogados Contencioso Administrativo Abogados Contratación Administrativa Abogados Contratación Mercantil Abogados Corporate Compliance Abogados Corporate Finance Abogados Derecho Administrativo Abogados Derecho Aduanero Abogados Derecho Agrario Abogados Derecho Agroalimentario Abogados Derecho Audiovisual Abogados Derecho Bancario Abogados Derecho Civil Abogados Derecho Comunitario Abogados Derecho Concursal Abogados Derecho Constitucional Abogados Derecho de Extranjería y Nacionalidad Abogados Derecho de Franquicias Abogados Derecho de la Competencia Competencia desleal Abogados Derecho de la Construcción Abogados Derecho de la Energía Abogados Derecho de las Telecomunicaciones Abogados Derecho de las TIC Abogados Derecho de los Consumidores Abogados Derecho de los Seguros Abogados Derecho de Sucesiones Abogados Derecho de Transportes y Marítimo Abogados Derecho del Medio Ambiente Abogados Derecho Deportivo Abogados Derecho Financiero Abogados Derecho Fiscal Abogados Derecho Hipotecario y Registral Abogados Derecho Informático Abogados Derecho Inmobiliario Abogados Derecho Internacional Privado Abogados Derecho Laboral Abogados Derecho Mercantil Abogados Derecho Penal Penalistas Abogados Derecho Penal Económico Abogados Derecho Penitenciario Abogados Derecho Procesal Abogados Derecho Sanitario y Farmacéutico Abogados Derecho Societario Abogados Derechos de Imagen Abogados Divorcios Familia y Adopciones Abogados Empresa Familiar Abogados Expropiaciones Abogados Fiscalidad Internacional Abogados Fiscalidad matrimonial y familiar Abogados Fusiones y Adquisiciones Abogados Gestión de Riesgos Abogados Herencias y Testamentos Abogados Impuestos Especiales Abogados Industria del Ocio Abogados Inversiones en el extranjero Abogados Investigación Privada Abogados Marketing y Gestión Abogados Mediación y Arbitraje Abogados Mercados de Valores y de Capitales Abogados Negligencias Médicas Abogados Nulidades eclesiásticas Abogados Penal Honor e Imagen Abogados Penal Laboral Abogados Penal Medio Ambiente Abogados Penal Societario Abogados Peritaje Abogados Prevención de Riesgos Laborales Abogados Propiedad Industrial Patentes y Marcas Abogados Propiedad Intelectual Abogados Protección de Datos Abogados Reclamaciones de Cantidad Abogados Responsabilidad Civil Abogados Seguridad Social Abogados Urbanismo Peritos Abogados Administradores Concursales Peritos Accidentes y Siniestros Peritos Actuarios de Seguros Peritos Administradores Auditores Concursales Peritos Agentes de la Propiedad Inmobiliaria Peritos Arquitectos Peritos Arquitectos Técnicos Peritos Auditores de Cuentas Peritos Averías Peritos Biólogos Peritos Caligrafos Pericia Caligrafica Peritos Cirugía Plástica Estética y Reparadora Peritos Comisario de Averías Marítimo Peritos Construcción Rehabilitación y Urbanismo Peritos Criminalistas Peritos Daños Peritos Documentoscópicos Peritos Economistas Peritos Economistas Administradores Concursales Peritos Expertos Inmobiliarios Peritos Filatelia y Numismática Peritos Geología y Medio Ambiente Peritos Informática Forense Peritos Ingenieros Agrónomos Peritos Ingenieros de Caminos Peritos Ingenieros de Telecomunicaciones Peritos Ingenieros Industriales Peritos Ingenieros Informáticos Peritos Ingenieros Navales Peritos Ingenieros Técnicos Agrícolas Peritos Ingenieros Técnicos Industriales Peritos Instalaciones eléctricas Peritos Mediación concursal Peritos Medicina del Trabajo Peritos Peritos Judiciales Peritos Peritos Médicos Medicina Pericial y Forense Peritos Prevención de Riesgos Laborales Peritos Propiedad Industrial e Intelectual Peritos Pruebas de ADN Peritos Psicólogos Psicología Pericial y Forense Peritos Psiquiatras Psiquiatría Pericial y Forense Peritos Químicos Peritos Reconstrucción de accidentes Peritos Recursos Humanos y Salud Laboral Peritos Técnicos Informáticos Peritos Tasadores Peritos Tasadores de Arte y Pintura Peritos Tasadores de Joyas y Gemología Valoraciones Peritos Tasadores de Seguros Peritos Tasadores inmobiliarios Valoración de Inmuebles Peritos Tasadores Textiles Peritos Titulados Mercantiles y Empresariales Peritos Topógrafos Ingenieros Técnicos en Topografía Peritos Toxicología Peritos Valoracion del Daño Corporal Peritos Valoraciones de empresas Peritos Veterinarios Procuradores Procuradores Detectives Detectives Privados Asesoría Fiscal Asesores Fiscales Agentes Propiedad Industrial Agentes de la Propiedad Industrial Agentes Propiedad Industrial Registro Patentes y Marcas Gestores Gestores Administrativos Auditores Auditoría de Cuentas Administración Concursal Administradores Concursales

Provincias

Álava Albacete Alicante Almería Asturias Ávila Badajoz Barcelona Burgos Cáceres Cádiz Cantabria Castellón Ceuta Ciudad Real Córdoba Cuenca Girona Granada Guadalajara Guipúzcoa Huelva Huesca Islas Baleares Jaén La Coruña La Rioja Las Palmas León Lleida Lugo Madrid Málaga Melilla Murcia Navarra Orense Palencia Pontevedra Salamanca Santa Cruz de Tenerife Segovia Sevilla Soria Tarragona Teruel Toledo Valencia Valladolid Vizcaya Zamora Zaragoza