Diferencias entre cesión de datos y encargo de datos
En el día a día del despacho es bastante recurrente que detectemos cierta confusión entre la cesión de datos y el encargo de datos, es decir, el acceso a datos por parte de un tercero para prestar un servicio.
Formalmente puede parecer que no existen diferencias pues, al final, los datos personales que tiene una empresa o entidad A, acaban en manos de una empresa o entidad B pero, a continuación, veremos cómo las diferencias, en cuanto a su trato por el RGPD, son muy importantes:
Cesión de datos: ¿Qué es y cómo se regula?
La cesión de datos entre dos empresas o entidades es una forma más de tratamiento de datos personales. De la lectura del RGPD se concluye que, entre el tipo de tratamiento de datos posibles, se incluye, entre otros, “la comunicación por transmisión”, la “difusión” o la “interconexión” de datos.
Nos encontramos en un supuesto, por lo tanto, en que la empresa o entidad A, ha recogido una serie de datos personales y que los comparte con una empresa o entidad B, con distinta personalidad jurídica.
Las consecuencias de la cesión de datos son esencialmente tres:
- Ambas entidades o empresas tratan los datos como responsables del tratamiento, es decir que responden de manera directa por el uso que vaya a hacerse de esos datos, uso que, por cierto, puede ser distinto de la empresa A y la B.
En su condición de responsable del tratamiento, cada una de las empresas o entidades involucradas en este tratamiento responde de sus obligaciones como tal y debe aplicar los criterios que la AEPD ha ido estableciendo en su dilatada doctrina.
- En cuánto a tratamiento de datos, éste debe quedar enmarcado en alguna de las bases legitimadoras establecidas en el artículo 6 del RGPD. Una de ellas es el consentimiento de la persona afectada, pero hay otras como el cumplimiento de una obligación legal o la ejecución de un contrato.
Debe analizarse, en cada caso, qué permite la cesión de los datos personales y aplicar la solución correspondiente en cada supuesto. Si la respuesta es el consentimiento, recordemos que éste debe ser siempre expreso.
- En cualquier caso, y con independencia de la base legitimadora que la permita, la cesión de los datos debe ser informada al titular de los datos (art. 14.1.e) RGPD).
Encargo de datos o tratamiento por cuenta de terceros
Caso muy distinto y con una solución completamente diferente. Se da en el caso que una empresa o entidad “utilice” a otras empresas o entidades para que éstas lleven a cabo un tratamiento de datos en su nombre y por su cuenta.
Estamos hablando efectivamente de los casos en que se contrata un servicio determinado y que la prestación de dicho servicio implica que un tercero acceda a los datos personales que la empresa “cliente” ha recopilado por su cuenta.
Este tipo de supuestos es cada vez mayor en las empresas de todos los tamaños, y la realidad es que va en aumento: datos alojados en la nube, CRM, ERP, servicios de mantenimiento informático, plataformas de envío de emails, etc.
La solución en este supuesto, como decimos, es radicalmente opuesta al de la cesión de datos, siendo aquí la clave del cumplimiento del RGPD, esencialmente una:
La relación entre ambas empresas o entidades debe quedar establecida en un contrato donde se establezca muy claramente el encargo, que los datos sólo se usarán por el proveedor con ese fin, las medidas de seguridad que aplicará y qué pasará con los datos cuando finalice la prestación del servicio.
Cláusulas unilaterales
En ocasiones, el proveedor no es una empresa que negocie contratos o que se avenga a firmar el contrato que le facilite el cliente. Aún así, la obligación de éste, como responsable del tratamiento, es asegurarse que las condiciones del servicio, aunque no se negocien, cumplen con el RGPD.
Subcontrataciones
Mención aparte merecen las subcontrataciones de servicios, supuesto en el que el proveedor contratado, inicialmente, subcontrata parte o la totalidad del servicio encomendado, y con ello el acceso de los datos a un tercero.
El RGPD es claro en el sentido en que el cliente (responsable del tratamiento) debe autorizar estas subcontrataciones. Huelga decir que, en los supuestos de cláusulas unilaterales, este control resulta muy complicado, cosa que no exime, de nuevo, la obligación del responsable de conocer todas las empresas que participan en el tratamiento de los datos.
Conocer, pues, la diferencia entre la cesión y el encargo en el tratamiento de datos resulta fundamental para la correcta aplicación del RGPD. Las soluciones y consecuencias legales son, como hemos visto, radicalmente distintas.
Si tienes preguntas sobre este o cualquier otro tema, ¡no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.