Diferències entre cessió de dades i encàrrec de dades
En el dia a dia del despatx és força recurrent que detectem certa confusió entre la cessió de dades i l’encàrrec de dades, és a dir, l’accés a dades per part d’un tercer per prestar un servei.
Formalment pot semblar que no hi ha diferències ja que, al final, les dades personals que té una empresa o entitat A, acaben en mans d’una empresa o entitat B però, a continuació, veurem com les diferències respecte al seu tracte per l’RGPD, són molt importants:
Cessió de dades: què és i com es regula?
La cessió de dades entre dues empreses o entitats és una forma més de tractament de dades personals. De la lectura de l’RGPD se’n conclou que, entre el tipus de tractament de dades possibles, s’hi inclou, entre d’altres, “la comunicació per transmissió”, la “difusió” o la “interconnexió” de dades.
Ens trobem en un supòsit, per tant, que l’empresa o entitat A ha recollit una sèrie de dades personals i que les comparteix amb una empresa o entitat B, amb personalitat jurídica diferent.
Les conseqüències de la cessió de dades són essencialment tres:
- Ambdues entitats o empreses tracten les dades com a responsables del tractament, és a dir, que responen de manera directa per l’ús que es faci d’aquestes dades, ús que, per cert, pot ser diferent de l’empresa A i la B.
En la condició de responsable del tractament, cadascuna de les empreses o entitats involucrades en aquest tractament respon de les seves obligacions com a tal i ha d’aplicar els criteris que l’AEPD ha anat establint a la seva dilatada doctrina.
- Respecte el tractament de dades, aquest ha de quedar emmarcat en alguna de les bases legitimadores establertes a l’article 6 de l’RGPD. Una és el consentiment de la persona afectada, però n’hi ha d’altres com el compliment d’una obligació legal o l’execució d’un contracte.
S’ha d’analitzar, en cada cas, què permet la cessió de les dades personals i aplicar la solució corresponent en cada supòsit. Si la resposta és el consentiment, recordem que aquest ha de ser sempre exprés.
- En qualsevol cas, i amb independència de la base legitimadora que la permeti, la cessió de les dades ha de ser informada al titular de les dades (art. 14.1.e) RGPD).
Encàrrec o tractament per compte de tercers
Cas molt diferent i amb una solució completament diferent. Es dóna el cas que una empresa o entitat “utilitzi” altres empreses o entitats perquè aquestes duguin a terme un tractament de dades en nom seu i pel seu compte.
Estem parlant, efectivament, dels casos en què es contracta un servei determinat i que la prestació del servei implica que un tercer accedeixi a les dades personals que l’empresa “client” ha recopilat pel seu compte.
Aquest tipus de supòsits és cada vegada més gran a les empreses de totes les mides, i la realitat és que va en augment: dades allotjades al núvol, CRM, ERP, serveis de manteniment informàtic, plataformes d’enviament d’emails, etc.
La solució en aquest supòsit, com diem, és radicalment oposada al de la cessió de dades, sent aquí la clau del compliment de l’RGPD, essencialment una:
La relació entre ambdues empreses o entitats ha de quedar establerta en un contracte on s’estableixi molt clarament l’encàrrec, que les dades només seran utilitzades pel proveïdor amb aquesta finalitat, les mesures de seguretat que aplicarà i què passarà amb les dades quan finalitzi la prestació del servei.
Clàusules unilaterals
De vegades, el proveïdor no és una empresa que negociï contractes o que s’avingui a signar el contracte que li faciliti el client. Tot i així, l’obligació d’aquest, com a responsable del tractament, és assegurar-se que les condicions del servei, encara que no es negociïn, compleixen l’RGPD.
Subcontractacions
Menció a part mereixen les subcontractacions de serveis, en el supòsit que el proveïdor contractat, inicialment, subcontracta part o la totalitat del servei encomanat, i amb això l’accés de les dades a un tercer.
L’RGPD és clar en el sentit que el client (responsable del tractament) ha d’autoritzar aquestes subcontractacions. No cal dir que, en els supòsits de clàusules unilaterals, aquest control és molt complicat, cosa que no eximeix, novament, l’obligació del responsable de conèixer totes les empreses que participen en el tractament de les dades.
Conèixer, doncs, la diferència entre la cessió i l’encàrrec en el tractament de dades és fonamental per a la correcta aplicació de l’RGPD. Les solucions i les conseqüències legals són, com hem vist, radicalment diferents.
Si tens preguntes sobre aquest o qualsevol altra tema, no dubtis en contactar-nos!
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.