Cuando estamos ante un Encargado de tratamiento o ante un destinatario de datos

Cuando estamos ante un encargado de tratamiento o un destinatario de datos. A veces resulta complicado diferenciar cuando una empresa actúa como encargado del tratamiento o estamos ante un destinatario de datos o cesión de datos. Además es importante conocerlo debido a las diferentes obligaciones legales de cada caso. 

¿Cuándo estamos ante una u otra situación?

Encargado de tratamiento (ET) es la entidad que trata datos personales por cuenta del responsable del tratamiento (RT). Luego en principio todas las entidades contratadas por un RT para que les preste un servicio que precisan tratar datos personales responsabilidad del RT fueron ET, ya que todas realizaron el tratamiento por encargo y por cuenta del RT. 

Destinatario de datos son aquellas entidades a las que un Responsable de tratamiento les ceda o comunique datos personales.

En una cesión de datos la entidad que hace el servicio, trata los datos personales por su cuenta, o sea sin seguir las instrucciones del Responsable. Por ejemplo: un concesionario de automóviles que cede los datos de sus clientes a una financiera para que le gestione un crédito. 

El encargado de tratamiento es aquel que presta un servicio en el que está tratando los datos personales por cuenta de una empresa que es la responsable del tratamiento.

El encargado de tratamiento, trata los datos siguiendo las instrucciones de la empresa responsable. Ejemplo una Asesoría laboral o fiscal de una empresa

Así pues, Cuando estamos ante un encargo de tratamiento tenemos una empresa que es la responsable. Ésta empresa encarga el tratamiento a otra empresa que es la encargada del tratamiento. Sin embargo en el caso de una cesión de datos. Tanto la que cede los datos como la que los recibe, ambos son responsables del tratamiento. 

No siempre es fácil determinar si un prestador de servicios interviene como encargado del tratamiento o como destinatario de datos. Nos puede facilitar su identificación respondedor a estas preguntas: 

• ¿Quién determina los fines y los medios del tratamiento?. 
• ¿El prestador de servicios está obligado a seguir únicamente nuestras instrucciones? 
• ¿Podemos obligar al prestador del servicio a suprimir los datos oa que nos los devuelvan y que no se queden ninguna copia? 

En función de las respuestas podemos estar ante una u otra situación

¿Cuándo estamos ante un encargado de tratamiento?

• Siempre que el prestador del servicio no determine las multas ni los medios del tratamiento?. 

• Siempre que el prestador de servicios esté obligado a seguir únicamente las instrucciones del responsable? 
• Siempre que el prestador est é obligado a suprimir los datos oa que se devuelvan y que no se queden ninguna copia? 

Implicaciones legales en el caso de una cesión de datos

La entidad que cede o comunica los datos personales a otro responsable

Para que la comunicación de datos personales sea licita, se necesita alguna de las siguientes bases jurídicas legitimadoras. La mayoría de las veces será el consentimiento, aunque también puede ser una obligación legal, o la ejecución de contrato, así como el interés vital, público o legítimo. 

Además con carácter previo a la cesión de datos, se deberá informar al interesado de las categorías de destinatarios a quien se prevé comunicar sus datos. 

La entidad destinataria que recibe los datos personales de otro responsable

El destinatario estará obligado, como nuevo Responsable de Tratamiento de los datos recibidos, a informar del tratamiento al interesado ya comunicarle dicha información: en un plazo máximo de 1 mes; o en el momento de la primera comunicación con el interesado; o en el momento en que se revelan los datos a otro destinatario. Salvo que el interesado ya disponga de la información; o sea imposible o suponga un esfuerzo desproporcionado (en este caso se podría publicar en la página web corporativa) u otras excepciones establecidas en la legislación vigente. 

¿Es necesario suscribir un contrato de cesión de datos entre el Responsable de Tratamiento y el responsable receptor de los datos?

Aunque el GDPR no regula la necesidad de suscribir un contrato de cesión de datos entre el Responsable de Tratamiento emisor y el Responsable de Tratamiento receptor de datos, sí que es recomendable establecer por escrito acuerdos que contemplan las condiciones bajo las que se produce la cesión. Esto es especialmente para el receptor de RT porque debe poder demostrar que ha obtenido los datos lícitamente, ya que no se los ha facilitado directamente al interesado. 

A veces ocurre que el encargado de tratamiento o el destinatario de los datos terminan tratando los datos por su cuenta y bajo su responsabilidad, determinando las multas y los medios de tratamiento. 

A continuación hacemos una relación no exhaustiva de actividades que, aunque en principio pudiesen parecer Encargados de Tratamiento y resultas Responsables de Tratamiento: 

Vigilancia de la salud, Mutuas de accidentes de trabajo y EEPP, Bancos, Procuradores, notarias, Agencias de viajes, Hoteles, Entidades organizadoras, centros sanitarios.

También existen otras actividades que pueden intervenir como Responsables o como Encargados de tratamiento según los servicios que presten, por ejemplo los abogados, agentes tributarios, asesores fiscales, asesores financieros, etc. 

Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. No dudes en contactarnos a través de nuestra web o por correo, y pídenos presupuesto sin compromiso . Además puedes seguirnos en redes sociales para estar al tanto de noticias, consejos, nuestros cursos y mucho más:

• Facebook
• LinkedIn

Si te ha resultado el artículo útil, puedes compartirlo con los iconos que aparecen justo debajo de este artículo.

Si nos sigues podrás estar al tanto de, no solo conceptos como el registro de actividades de tratamiento, sino de todo tipo de novedades con respecto a la Protección de Datos y estar al día de una legislación tan cambiante como esta.