Es muy común que las empresas externalicen servicios en otras entidades, todos conocemos algún caso, como, por ejemplo, la asesoría laboral, empresa de informática, gestoría, etcétera. La realidad es que al ser algo que se realiza de una forma tan natural que la mayoría de las empresas no le dan mas importancia a la hora de llevar a cabo dicha contratación, pero hemos de tener en cuenta que esta externalización de servicios tiene un alto impacto en la protección de datos, pues la entidad prestadora de servicio, para poder realizar su trabajo correctamente, ha de acceder a una serie de datos de carácter personal, la categoría de los datos a los que puedan acceder dependerá del servicio concreto que presten, siendo la responsabilidad última de la entidad que contrata el servicio en calidad de responsable.
Por lo tanto, para estos casos será de aplicación la normativa en materia de protección de datos:
Antes de comenzar con el análisis de Procedimiento Sancionador al que vamos a dedicar el presente artículo, consideramos oportuno aclarar una serie de conceptos:
- Responsable del tratamiento (Art. 4 RGPD): “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. Es decir, es quien determina los fines y los medios relacionados con el tratamiento de los datos personales, de modo que, si decide «por qué» y «cómo» deberán tratarse los datos personales, la entidad es considerada responsable del tratamiento.
- Encargado del tratamiento (Art. 4 RGPD): “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. El encargado del tratamiento de los datos suele ser un tercero externo a la empresa.
Para dilucidar un poco más el asunto hemos de acudir al informe 0064/202 del Gabinete jurídico de la AEPD:
“los criterios sobre cómo atribuir los diferentes roles siguen siendo los mismos (apartado 11), reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a sus actividades reales en lugar de la designación formal de un actor como «responsable» o «encargado» (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una evaluación fáctica también significa que el papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades concretas en un contexto específico…”.
Los conceptos de responsable y encargado de tratamiento no son formales, sino funcionales y deben atender al caso concreto. El responsable del tratamiento lo es desde el momento que decide los fines y los medios del tratamiento, no perdiendo tal condición por el hecho de dejar cierto margen de actuación al encargado del tratamiento o por no tener acceso a las bases de datos del encargado. Así se expresa indubitadamente en las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD: “Un responsable del tratamiento es quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre ambos propósitos y medios. Sin embargo, algunos aspectos más prácticos de la implementación («medios no esenciales») se pueden dejar en manos del encargado del tratamiento. No es necesario que el responsable tenga realmente acceso a los datos que se están tratando para calificarse como responsable”
Por ejemplo: Una cervecería que firma un contrato con una asesoría laboral. La cervecería indica a la asesoría cuándo un empleado abandona la empresa o si tiene un aumento de sueldo, y proporciona toda la demás información, mientras que la asesoría proporciona el sistema informático y conserva los datos de los empleados. La cervecería es el responsable del tratamiento y la empresa de nóminas es el encargado del tratamiento.
Además, también hemos de tener en cuenta que las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato u otro acto jurídico (Art. 28 RGPD). Dicho contrato, según las directrices de la Agencia Española de Protección de Datos a la hora de elaborar los contratos de acceso a datos por cuenta de terceros, ha de contar con las siguientes premisas como mínimo:
- Objeto
- Duración, la naturaleza
- Finalidad del tratamiento
- Tipo de datos personales y categorías de interesados
- Obligaciones y derechos del responsable
Existen situaciones en las que una entidad puede ser responsable o encargado del tratamiento, o ambas cosas, a este respecto recomendamos la lectura de las directrices del CEPD Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento».
Una vez sentadas las bases de nuestro presente artículo, vamos a pasar a analizar una interesante resolución de la Agencia Española de Protección de Datos (AEPD) al respecto, en concreto el PS-00214-2022:
Se trata de una resolución en la que el reclamante interpone una reclamación contra la entidad X, la cual había realizado un proceso de selección ante el cual el reclamante había postulado, encontrándose en dicho proceso de selección teniendo que realizar unos psicotécnicos, accesibles a través de un enlace de una entidad especializada en estos servicios. Según afirma, en uno de los formularios empleados para llevar a cabo el proceso le solicitaron datos sensibles (discapacidad y etnia), desconociéndose el uso que haría la empresa de estos datos. Añade que la cumplimentación de esos formularios le fue requerida por el departamento de Recursos Humanos de otra entidad, a la cual denominaremos entidad X1.
Inicialmente, lo que hace la AEPD es atender a las alegaciones de las partes, las cuales han sido extensas, tanto entidad X como entidad X1, parece quedar evidenciado que el Responsable del Tratamiento es la entidad X y el Encargado del Tratamiento es X1, puesto que se le ha encargado la realización de pruebas de selección para los puestos de trabajo que oferte el Responsable del Tratamiento, por lo tanto si atendemos a la definición que antes hemos referenciado de Encargado del Tratamiento todo parece apuntar a que es así. Atendiendo a esto, la entidad X debería de recibir la sanción.
A medida que se van realizando las actuaciones por parte de la autoridad de control (AEPD), se va dilucidando la realidad, la entidad X1, que actuaba como encargado del tratamiento, no estaba realizando solo los cuestionarios de la forma que le indicaba su cliente (entidad X y responsable del tratamiento), sino que estaba aprovechando esos formularios para introducir un “Cuestionario” para el aspirante al puesto de trabajo con finalidades propias, con fines de investigación y mejora de las evaluaciones y en su propio beneficio, en los que se incluye etnia y discapacidad, aunque alega que no obliga a su respuesta, pues se da la opción “prefiero no contestar”. En base a esto, se entiende que la sanción ha de ser para la entidad X1, pues esta actuando por su propia cuenta, ostentando la condición de responsable del tratamiento respecto de la recogida y utilización de los datos personales relativos a etnia y discapacidad, datos que no forman parte de la evaluación psicométrica, ni afectan a los resultados obtenidos por el candidato en su evaluación.
¿Entonces, en que se basa la AEPD para la interponer la sanción a entidad X1?
- Incumplimiento del artículo 6 RGPD:
“Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
Para que un tratamiento de datos de carácter personal sea licito conforme a la normativa ha de cumplir con alguna de las premisas indicadas en el artículo, no encontrándose ninguna cumplida por parte de la entidad sancionada. Además, tampoco se facilita la información necesaria en materia de protección de datos ni en sus formularios ni en la política de privacidad web.
- Incumplimiento del articulo 9 RGPD:
“Tratamiento de categorías especiales de datos personales
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.”
Como regla general, el tratamiento de datos de carácter personal especialmente protegidos (como es en este caso etnia y discapacidad) se encuentra prohibido. Si bien es cierto que existen algunas excepciones para llevar a cabo ese tratamiento, como en este caso concreto podría ser el consentimiento explícito del interesado (Art.9.2.a) RGPD), puesto que como alega el reclamado se trata de datos “voluntarios”, pero tampoco se ha justificado la prestación de un consentimiento válido de los interesados, pues la mera cumplimentación del formulario, no puede aceptarse como una prestación válida de dicho consentimiento, por todo ello la AEPD entiende que incumple con la normativa en materia de protección de datos.
Además, en el caso analizado, no se ha actuado con diligencia debida, se debe desplegar esta para que se garantice el respeto a los derechos y libertades de los titulares de los datos, en el caso concreto no se ha obrado respetándolos, por todos los motivos que hemos visto hasta el momento. A mayor abundamiento se trata de una empresa que realiza tratamientos de datos personales de manera sistemática y continua, debiendo extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos.
En base a los incumplimientos que hemos ido detallando, la autoridad de control (AEPD) interpone sanción de 50.000€ al reclamado, finalmente pagando 40.000€, haciendo uso de la reducción prevista en la propuesta de resolución de la AEPD.
Para finalizar el artículo nos gustaría dar una serie de recomendaciones a la hora de contratar una entidad prestadora de servicios que tenga acceso a datos de carácter personal, es decir un Encargado del Tratamiento:
- Asegurarnos previamente a contratar de que dicha entidad cumple con la normativa en materia de protección de datos, pasándoles un check list por ejemplo.
- Firma de contrato de encargo del tratamiento en virtud del Art. 28 RGPD.
- Cumplimiento de nuestros deberes y obligaciones en materia de protección de datos como responsables del tratamiento.
- Cumplimiento de la diligencia debida.
Es muy importante que cumplamos con estas premisas si queremos evitar cualquier sanción por parte de la autoridad de control.
A mayor abundamiento, como ya hemos visto, es igual de importante que si actúas como encargado del tratamiento cumplas con el encargo que se te ha realizado y te límites a este para evitar alguna sanción del estilo a la que hemos analizado en el presente artículo y en otras entradas de nuestro blog.
