{"id":17920,"date":"2022-04-15T09:00:00","date_gmt":"2022-04-15T08:00:00","guid":{"rendered":"https:\/\/www.rosello-mallol.com\/?p=17920"},"modified":"2022-04-08T11:31:52","modified_gmt":"2022-04-08T10:31:52","slug":"diferencias-cesion-datos-encargo-datos","status":"publish","type":"post","link":"https:\/\/www.rosello-mallol.com\/es\/diferencias-cesion-datos-encargo-datos\/","title":{"rendered":"Diferencias entre cesi\u00f3n de datos y encargo de datos"},"content":{"rendered":"\n

En el d\u00eda a d\u00eda del despacho es bastante recurrente que detectemos cierta confusi\u00f3n entre la cesi\u00f3n de datos y el encargo de datos<\/strong>, es decir, el acceso a datos por parte de un tercero para prestar un servicio. <\/p>\n\n\n\n

Formalmente puede parecer que no existen diferencias pues, al final, los datos personales que tiene una empresa o entidad A, acaban en manos de una empresa o entidad B pero, a continuaci\u00f3n, veremos c\u00f3mo las diferencias, en cuanto a su trato por el RGPD, son muy importantes:<\/p>\n\n\n\n

Cesi\u00f3n de datos: \u00bfQu\u00e9 es y c\u00f3mo se regula?<\/strong><\/h2>\n\n\n\n

La cesi\u00f3n de datos entre dos empresas o entidades es una forma m\u00e1s de tratamiento de datos personales<\/strong>. De la lectura del RGPD se concluye que, entre el tipo de tratamiento de datos posibles, se incluye, entre otros, \u201cla comunicaci\u00f3n por transmisi\u00f3n\u201d, la \u201cdifusi\u00f3n\u201d o la \u201cinterconexi\u00f3n\u201d de datos.\u00a0<\/p>\n\n\n\n

Nos encontramos en un supuesto, por lo tanto, en que la empresa o entidad A, ha recogido una serie de datos personales y que los comparte con una empresa o entidad B, con distinta personalidad jur\u00eddica. <\/p>\n\n\n\n

Las consecuencias de la cesi\u00f3n de datos son esencialmente tres<\/strong>:<\/p>\n\n\n\n

  1. Ambas entidades o empresas tratan los datos como responsables<\/span> del tratamiento, es decir que responden de manera directa por el uso que vaya a hacerse de esos datos, uso que, por cierto, puede ser distinto de la empresa A y la B.\u00a0<\/li><\/ol>\n\n\n\n

    En su condici\u00f3n de responsable del tratamiento, cada una de las empresas o entidades involucradas en este tratamiento responde de sus obligaciones como tal y debe aplicar los criterios que la AEPD<\/a><\/strong> ha ido estableciendo en su dilatada doctrina.<\/p>\n\n\n\n

    1. En cu\u00e1nto a tratamiento de datos, \u00e9ste debe quedar enmarcado en alguna de las bases legitimadoras<\/span> establecidas en el art\u00edculo 6 del RGPD. Una de ellas es el consentimiento de la persona afectada<\/strong>, pero hay otras como el cumplimiento de una obligaci\u00f3n legal o la ejecuci\u00f3n de un contrato.\u00a0<\/li><\/ol>\n\n\n\n

      Debe analizarse, en cada caso, qu\u00e9 permite la cesi\u00f3n de los datos personales y aplicar la soluci\u00f3n correspondiente en cada supuesto. Si la respuesta es el consentimiento, recordemos que \u00e9ste debe ser siempre expreso<\/strong>.<\/p>\n\n\n\n

      1. En cualquier caso, y con independencia de la base legitimadora que la permita, la cesi\u00f3n de los datos debe ser informada<\/span> al titular de los datos (art. 14.1.e) RGPD).<\/li><\/ol>\n\n\n\n

        Encargo de datos o tratamiento por cuenta de terceros<\/strong><\/h2>\n\n\n\n

        Caso muy distinto y con una soluci\u00f3n completamente diferente. Se da en el caso que una empresa o entidad \u201cutilice\u201d a otras empresas o entidades<\/strong> para que \u00e9stas lleven a cabo un tratamiento de datos en su nombre y por su cuenta.<\/p>\n\n\n\n

        Estamos hablando efectivamente de los casos en que se contrata un servicio determinado<\/strong> y que la prestaci\u00f3n de dicho servicio implica que un tercero acceda a los datos personales<\/strong> que la empresa \u201ccliente\u201d ha recopilado por su cuenta.\u00a0<\/p>\n\n\n\n

        Este tipo de supuestos es cada vez mayor en las empresas de todos los tama\u00f1os, y la realidad es que va en aumento: datos alojados en la nube, CRM, ERP, servicios de mantenimiento inform\u00e1tico, plataformas de env\u00edo de emails, etc.<\/p>\n\n\n\n

        La soluci\u00f3n en este supuesto, como decimos, es radicalmente opuesta al de la cesi\u00f3n de datos, siendo aqu\u00ed la clave del cumplimiento del RGPD, esencialmente una<\/strong>:<\/p>\n\n\n\n

        La relaci\u00f3n entre ambas empresas o entidades<\/strong> debe quedar establecida en un contrato<\/strong><\/span> donde se establezca muy claramente el encargo, que los datos s\u00f3lo se usar\u00e1n por el proveedor con ese fin, las medidas de seguridad que aplicar\u00e1 y qu\u00e9 pasar\u00e1 con los datos cuando finalice la prestaci\u00f3n del servicio.<\/p>\n\n\n\n

        Cl\u00e1usulas unilaterales<\/span><\/p>\n\n\n\n

        En ocasiones, el proveedor no es una empresa que negocie contratos o que se avenga a firmar el contrato que le facilite el cliente. A\u00fan as\u00ed, la obligaci\u00f3n de \u00e9ste, como responsable del tratamiento, es asegurarse que las condiciones del servicio, aunque no se negocien, cumplen con el RGPD.<\/p>\n\n\n\n

        Subcontrataciones<\/span><\/p>\n\n\n\n

        Menci\u00f3n aparte merecen las subcontrataciones de servicios, supuesto en el que el proveedor contratado, inicialmente, subcontrata parte o la totalidad del servicio encomendado, y con ello el acceso de los datos a un tercero. <\/p>\n\n\n\n

        El RGPD es claro en el sentido en que el cliente (responsable del tratamiento<\/span>) debe autorizar estas subcontrataciones. Huelga decir que, en los supuestos de cl\u00e1usulas unilaterales, este control resulta muy complicado, cosa que no exime, de nuevo, la obligaci\u00f3n del responsable de conocer todas las empresas que participan en el tratamiento de los datos.<\/p>\n\n\n\n

        Conocer, pues, la diferencia entre la cesi\u00f3n y el encargo en el tratamiento de datos resulta fundamental para la correcta aplicaci\u00f3n del RGPD<\/strong>. Las soluciones y consecuencias legales son, como hemos visto, radicalmente distintas.<\/p>\n\n\n\n

        Si tienes preguntas sobre este o cualquier otro tema, \u00a1no dudes en contactarnos<\/a><\/strong>!<\/p>\n\n\n\n

        \n
        \n

        <\/p>

          <\/ul><\/div>\n
          \n
          \n\n\n\n\n\n\n\n<\/div>\n