En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (Aquí y Aquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

A partir del 14 de septiembre del presente año, entra en vigor el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (en adelante, el Reglamento).  

El objeto del presente artículo es dotar al lector de una visión más aproximada acerca de las cuestiones que plantea el citado Reglamento, el cual, y a la vista está, no ha gozado de tanto reconocimiento ni repercusión como el ya conocido Reglamento General de Protección de Datos (en adelante, RGPD).

No son baladíes las cuestiones que se recogen, tanto en la Directiva (UE) 2015/2366 (en adelante, la Directiva), como en el Reglamento que la complementa, al entrar a regular y desarrollar ambas normativas las cuestiones relativas a la autenticación reforzada del cliente en lo referido a aquellos servicios de pago ofrecidos electrónicamente.

Con el avance de la tecnología, los riesgos en la seguridad relativa a los pagos electrónicos se han visto notoriamente incrementados. Anterior a la entrada en vigor del Reglamento, la legislación europea relativa a los sectores del mercado de pagos, que comprendía los pagos realizados con tarjeta, por internet, y los pagos móviles, no se encontraba lo suficientemente armonizada, generando tal inseguridad jurídica y desprotección de los consumidores, que la necesidad de una regulación común y una aplicación uniforme del marco regulación en la Unión era acuciante.

Debemos recalcar la importancia de la seguridad de los pagos electrónicos con el fin de establecer en la práctica, las medidas necesarias enfocadas a garantizar la protección de los usuarios dentro del comercio electrónico. Todos estos servicios ofrecidos de manera electrónica deben gozar de una adecuada protección, de manera que permitan garantizar una autenticación segura por parte del usuario, minimizando así el riesgo de fraude en el pago, u otro tipo de abusos que puedan llegar a producirse a la hora de realizar transacciones por internet.

Es por ello, que la Directiva, procede a definir, en su artículo 4, el concepto de “autenticación reforzada de cliente”, que hace referencia a la autenticación basada en dos o más elementos, de carácter independiente, entre los que encontramos los siguientes:

• Conocimiento (algo que solamente conoce el usuario, como pudiera ser una contraseña).
• Posesión (algo que solo posee el usuario, como un smartphone o una Tablet).
• Inherencia (algo que es del usuario, por ejemplo, sensores biométricos, como puede ser su huella dactilar o reconocimiento facial).

La última cuestión relativa a la inherencia del usuario puede plantear interesantes cuestiones en lo que se refiere a la determinación de las obligaciones de los proveedores que realicen el tratamiento de los datos biométricos, catalogados en el RGPD como datos personales de carácter sensible, y que gozan de una especial atención a la hora de su tratamiento.