El artículo 3.g) de la LOPD lo define como «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento».
Esta figura creó en su momento gran polémica debido a la interpretación que se diese a la parte de la definición que especifica: «por cuenta del responsable del tratamiento».
Se podría entender que el encargado del tratamiento fuera un empleado u organismo interno: Jefe o Departamento de Informática que realizaba el tratamiento por cuenta del responsable del fichero o tratamiento. Pero es un tercero externo con el que, según el artículo 12 de la Ley había que formalizar un contrato al que nos referiremos más adelante y que, a raíz de ello, contraería una serie de obligaciones que deben venir claramente especificadas en aquel.
Realizar, por cuenta del responsable del fichero, los tratamientos que figuran en el contrato formalizado.
Cobra especial importancia esta figura, dados los numerosos casos de subcontratación que se producen tanto en el sector privado como en el público.
DOCTRINA DE LA AEPD. ACLARACIONES SOBRE LA FIGURA DEL ENCARGADO DEL TRATAMIENTO
Se han recibido reiteradas consultas referidas al supuesto específico en que las actividades de una determinada empresa que implican un tratamiento automatizado de datos de carácter personal (nóminas, contabilidad, etc,) son efectuadas por una entidad asesora, sin que para la empresa se realice un tratamiento efectivo de dichos datos. En particular, se ha planteado a quien corresponderá el cumplimiento de las obligaciones reguladas por la LOPD.
De lo establecido en la mencionada Ley debe señalarse que las obligaciones que la misma impone, en particular la de proceder a la notificación del fichero a la Agencia Española de Protección de Datos, habrán de cumplirse por parte de quien ostente la condición de responsable del fichero, definido por el articulo 3.d) de la Ley como "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".
Por tanto, la solución a la cuestión planteada deberá basarse en el hecho de si la empresa por cuya cuenta se procede al tratamiento de los datos decide sobre la finalidad y el modo en que se procederá a dicho tratamiento, con independencia de que por la misma se efectúen las operaciones que supongan la incorporación de los datos al fichero.
En concreto, en el caso en que la empresa facilite los datos a la gestoría, precisamente con la finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos (por lo que será la cliente quien decida sobre la finalidad y use de la información), aquella tendrá la condición de responsable del fichero y deberá notificar su existencia al Registro General de Protección de Datos.
Dado que en este caso nos encontraremos ante un supuesto en que Ia gestoría tendrá la condición de encargado del tratamiento, la relación entre ambas entidades deberá someterse a lo dispuesto en el artículo 12 de la Ley, siendo de destacar las siguientes cuestiones:
- En lo que atañe a los requisitos formales de este tipo de contratos, el articulo 12.2 impone que "la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas".
- Por lo que respecta al periodo de conservación de los datos, el artículo 12.3 establece que "una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento", habiendo desaparecido la posibilidad de conservar los datos durante un periodo máximo de cinco años, que preveía el artículo 27.2 de la LORTAD.
- En lo referente a la cesión de los datos, de lo establecido en el artículo 12.2 se desprende que no procederá esa cesión, de forma que los datos habrán de ser entregados única y exclusivamente al responsable del fichero. Ello impide, a nuestro juicio, la posibilidad de proceder a una subcontratación de este tipo de servicios por parte del encargado del tratamiento, debiendo siempre el responsable ser parte en la relación jurídica, ya que cualquier transmisión de los datos a un tercero que no corresponda al responsable del fichero habrá de ser considerada cesión.
- En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica.
- Por último, según el artículo 12.4, "en el caso de que el encargado de tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente", siendo, en consecuencia, de aplicación el régimen sancionador establecido en los artículos 43 y siguientes de la Ley, sujetando el primero de ellos al encargado del tratamiento a dicho régimen.
Centro de Servicios Empresariales de Andalucía
C/ Arquímedes, 2 Isla de la Cartuja,
41092, Sevilla
Federación Andaluza de Autónomos
CEAT-Andalucía
C/ Arquímedes, 2. Isla de la Cartuja,
41092, Sevilla
Servicio Andaluz de Empleo
Consejería de Empleo
Junta de Andalucía
Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA
http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11