Tras la entrada en vigor de la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPDGDD), que tiene como objetivo adaptar el Reglamento europeo General de Protección de Datos (en adelante RGPD), se ha modificado el tratamiento de los datos personales de los usuarios que dispongan las empresas. El objetivo de estas leyes es proteger el tratamiento de datos personales y los derechos fundamentales de las personas físicas (como, por ejemplo, la intimidad personal y familiar). Con la presente ley, los usuarios tienen ahora un mayor control sobre sus datos, y pueden tomar decisiones sobre quién puede utilizar su información personal, con qué finalidad, hasta cuándo, pudiendo solicitar en todo momento a las empresas el acceso, la rectificación o la oposición al tratamiento de sus datos.
Respecto al tratamiento de datos personales, la ley hace una distinción importante entre el "acceso a datos personales" y la "cesión de datos personales"; figuras que pueden parecer similares y que sin duda puede acarrear grandes dolores de cabeza. Por ello, en la presente guía, se va a analizar detenidamente ambas figuras, exponiendo ejemplos prácticos, y se terminará explicando qué tres diferencias esenciales hay que tener en cuenta.
Los datos personales son todos los datos e informaciones relativas a una persona física (se excluyen a las personas jurídicas y a las sociedades limitadas o anónimas); por tanto, estos datos llevarían a la identificación de una determinada persona física. Por ejemplo, constituyen datos de carácter personal los siguientes:
Todos estos datos personales entran dentro de la protección de datos, las cuales están protegidas por el RGPD y la LOPDGDD. Además, la protección de datos de carácter personal es un derecho fundamental garantizado en el artículo 18.4 de la Constitución Española. Por tanto, todas las personas físicas o jurídicas que traten o manejen datos de carácter personal tienen que cumplir una serie de obligaciones tales como garantizar que las personas puedan controlar y disponer de sus datos personales. Por ello, es fundamental que el interesado consienta expresamente el tratamiento de datos personales que le conciernen. El tratamiento de datos personales consiste en cualquier operación (recopilar, registro, conservación, modificación, extracción, consulta, utilización, entre otras) realizada sobre datos personales por parte de una persona física o jurídica.
El acceso a datos personales ocurre cuando una tercera persona (física o jurídica) accede a datos personales para el cumplimiento de una prestación contratada indicada por el responsable del tratamiento de esos datos.
De tal manera, cuando una empresa externaliza determinadas actividades de procesamiento de datos a un tercero, como por ejemplo, una gestoría laboral para que gestione las nóminas de los trabajadores, la empresa es el responsable del tratamiento de datos, y el tercero (la gestoría) es el encargado del tratamiento de datos.
Distinguir entre:
- Responsable del tratamiento: es la persona responsable del tratamiento de los datos personales, y quien determina los fines y los medios relacionados con el tratamiento de los datos personales. Es quien decide por qué y cómo deberán tratarse los datos personales.
- Encargado del tratamiento: es aquella persona física o jurídica externa a la que se contrata para que preste uun servicio determinado. Por tanto, el encargado del tratamiento trata los datos personales únicamente a petición del responsable del tratamiento, y deberá seguir sus directrices. Por ejemplo, una gestoría que presta al responsable del tratamiento servicios laborales o fiscales.
Por tanto, el responsable del tratamiento decide cómo utilizar y procesar los datos personales, qué información se procesa y la base legal para hacerlo, mientras que el encargado del tratamiento completa el procesamiento en nombre del responsable. En todo caso, según el RGPD, los responsables del tratamiento son responsables de su propio cumplimiento y del de los encargados. Por ello, es imprescindible que la empresa responsable elija encargados del tratamiento que ofrezcan garantías suficientes de que aplicarán medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con el RGPD.
Para que este tercero pueda acceder a los datos personales, es fundamental que firmen un contrato de acceso a datos personales que establezca expresamente las obligaciones del encargado del tratamiento. Mediante este contrato se establecen una serie de cláusulas de obligado cumplimiento para las partes, tales las categorías y los datos personales a los que tendrá acceso el encargado del tratamiento, la finalidad del tratamiento de datos personales, las medidas de seguridad a las que estará obligado a aplicar el encargado del tratamiento, el régimen de subcontratación, el deber de informar de cualquier infracción de seguridad, entre otros.
Al finalizar la relación contractual, el contrato debe indicar expresamente el destino de los datos. Se puede acordar eliminar todos los datos personales al finalizar los servicios o que el encargado del tratamiento se los devuelva.
Asimismo, la empresa responsable debe seleccionar al encargado del tratamiento con la debida diligencia; es decir, tendrá que realizar una evaluación de riesgos y una revisión de los términos y condiciones propuestos para garantizar que la empresa a cargo del tratamiento no está expuesta a riesgos indebidos con respecto al tratamiento de los datos personales.
Ejemplos:
- Asesorías/Gestorías: cuando estas se encarguen de las nóminas de los empleados o con el tema de impuestos, estas asesorías deberán firmar este contrato en el que se recojan las medidas de seguridad que deben adoptar respecto a los datos personales a los que van a acceder.
- Empresas de marketing: cuando se contrate una empresa para que lleve el tema de publicidad, esta también tendrá acceso a datos personales de clientes y empleados por lo que igualmente deberá firmar ese contrato.
- Empresas informáticas y de alojamiento web: si se contrata una empresa para que se ocupe del mantenimiento informático o se tenga una página web alojada en un servidor de un tercero, también se tiene que firmar este contrato ya que tendrán acceso a datos personales de clientes y empleados.
La cesión o comunicación de datos ocurre cuando una empresa cede los datos personales a un tercero quien podrá utilizarlos para sus propias finalidades, decidiendo de este modo sobre el objeto y la finalidad del tratamiento de esos datos. Por tanto, habrá cesión de datos siempre que se proporcione acceso a los datos personales a un tercero interesado para que éste lo use con una finalidad autónoma, y trabaje por su propia cuenta y riesgo.
Según la normativa vigente, el tratamiento de los datos de carácter personal, así como su cesión, requerirá el consentimiento expreso de el afectado (la persona cuyos datos personales serán transferidos) salvo que la Ley disponga otra cosa. En los casos que se debe obtener el consentimiento del interesado, este consentimiento debe ser:
Como ya se ha explicado, por lo general, es fundamental que la empresa cedente haya obtenido los datos de una manera adecuada siguiente las obligaciones que exigen el RGPD y la LOPDGDD, y además, haber obtenido el consentimiento previo e inequívoco del interesado para la cesión a un tercero de los datos personales.
No obstante, existen determinadas circunstancias en los cuales no será necesario el consentimiento previo del interesado (es decir, no será necesario informar sobre la cesión de datos):
Una vez que se tenga base jurídica para ceder los datos personales (ej. consentimiento del interesado), es preciso que las partes redacten un contrato de cesión o comunicación de datos personales. Este contrato sirve para regular la entrega de datos personales por parte del responsable del tratamiento (cedente) a un tercero (cesionario). Únicamente se podrán ceder a un tercero aquellos datos especificados en el contrato y que estén contenidos en el Registro de Actividad de Tratamiento. Finalmente, una vez cedidos los datos a un tercero, el cedente deberá comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato ni se comunican a otras personas.
Ejemplos:
- Empresa de publicidad: el responsable del tratamiento (el cedente) vende o alquila la base de datos de sus clientes para que la empresa de publicidad (el cesionario) anuncie sus productos. En este caso, hay una clara cesión de datos personales ya que la empresa de publicidad tendrá poder de decisión sobre los datos personales y se podrá lucrar con ellos.
- Hospitales y aseguradoras: en este caso, el paciente es cliente tanto del hospital como de su aseguradores, y en ambos sitios, ha consentido esta cesión para una finalidad de facturación.
A continuación, se hará un pequeño resumen de todo lo abordado en los apartados anteriores.
La primera diferencia radica en que en el contrato de acceso de datos, el responsable del tratamiento contrata a una tercera persona, denominada encargado del tratamiento, para que preste determinados servicios (y para ello, tendrá que acceder a dichos datos personales); mientras que en el contrato de cesión de datos, el responsable del tratamiento cede los datos personales a una tercera persona para que este los utilice como quiera, convirtiéndose éste también en responsable del tratamiento.
La segunda diferencia consiste en que en el contrato de acceso de datos el encargado del tratamiento nunca decide sobre la finalidad y uso de los datos, recae siempre sobre el responsable del tratamiento. Por el contrario, en el contrato de cesión de datos, el tercero que recibe los datos puede decidir libremente sobre ellos, aplicarlos a sus propias finalidades, y lucrarse con ellos.
La tercera y última diferencia radica en que el en el contrato de acceso, el encargado del tratamiento no será responsable del uso o destino de los datos, siempre que actúe dentro de los límites marcados por la Ley; mientras que en el contrato de cesión, la tercera persona será plenamente responsable del buen uso de los datos personales.