Relación de un autónomo con el responsable del tratamiento


Manuel Castilleja Toscano     23/01/2020


Un autónomo que trata datos por cuenta de un responsable del tratamiento, ¿debe considerarse encargado del tratamiento o personal autorizado del propio responsable?

1. Responsabilidad del autónomo en el tratamiento de los datos

El RGPD no diferencia entre distintos tipos de encargados del tratamiento cuando define en su art. 4.8 al encargado del tratamiento como la persona física (puede ser un autónomo) o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Por tanto según esta definición y conforme a lo establecido en el art. 28.3 del RGPD, el tratamiento por el encargado sea cual sea su forma jurídica, se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, es decir se debería suscribir siempre un contrato de encargo del tratamiento, independientemente de que el encargado fuese un autónomo o no.

Sin embargo, en lugar de encargado podríamos considerar un autónomo como personal autorizado para tratar datos personales del propio responsable, siempre que respecto al tratamiento del autónomo por cuenta del responsable se dieran todas y cada una de las siguientes condiciones:

  • Que el tratamiento sea llevado a cabo sólo por el autónomo, no por personal a su cargo.
  • Que tenga lugar exclusivamente en las instalaciones del responsable, nunca en las del autónomo.
  • Que solo se utilicen medios del responsable (software, hardware, soportes, etc.).
  • Que se lleve a cabo bajo las medidas de seguridad técnicas y organizativas adoptadas e impuestas por el responsable.
  • Que se lleve a cabo cumpliendo estrictamente la normativa interna del responsable, (políticas y/o protocolos de protección de datos), de obligado cumplimiento para todo el personal de la organización.

Si no se cumple alguna de estas condiciones, los autónomos deberán considerarse encargados del tratamiento y no personal autorizado.

2. Regulación contractual del acceso a datos por parte del autónomo

El RGPD obliga en su art. 28.3 a suscribir contratos de encargo del tratamiento con el encargado.

El RGPD no obliga específicamente en ninguno de sus artículos a firmar acuerdos de confidencialidad entre el responsable y el personal autorizado al tratamiento, sin embargo conforme a lo establecido en los arts. 5.1.f y 24.1 RGPD, sí se trataría de una medida de seguridad organizativa y contractual adecuada, suscribirlos y firmarlos para informar al personal autorizado al tratamiento sobre este deber de confidencialidad establecido en el art. 5 LOPDGDD, y poder acreditar conforme al principio de responsabilidad proactiva (art. 5.2 RGPD) que se ha informado.

El RGPD obliga en su art. 29 RGPD, a cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales a seguir las instrucciones del responsable.

Por tanto, en base a los preceptos referenciados, en el caso de un autónomo que trata datos por cuenta de un responsable del tratamiento, y dependiendo de las condiciones que se den, existirían dos fórmulas para garantizar la confidencialidad y el cumplimiento del RGPD, firmando con el autónomo:

  • Un acuerdo de confidencialidad como persona autorizada para tratar datos que incluya las instrucciones del responsable para llevar a cabo el tratamiento, cuando se den todas las condiciones relacionadas en el punto 1,
  • Un contrato de encargo como encargado del tratamiento (art. 28.3 RGPD), cuando no se den todas las condiciones relacionadas en el punto 1.

3. Normativa aplicable

Art. 4.8 RGPD, define al encargado del tratamiento como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".

Art.4.10 RGPD, en el que podemos ver todas las figuras posibles intervinientes en un tratamiento: tercero es cualquier persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Art. 5.1.f) RGPD: Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Art. 5.2 RGPD El responsable del tratamiento será responsable del cumplimiento de los principios del tratamiento regulados en el art.5.1 RGPD, entre ellos el de integridad y confidencialidad (art. 5.1.f RGPD) y capaz de demostrarlo (responsabilidad proactiva). La forma de demostrar la adopción medida de seguridad que supone informar del deber de confidencialidad al personal es firmando dichos acuerdos.

Art. 24.1 RGPD teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. Una de esas medidas organizativas es informar al personal que trate datos de su deber de confidencialidad.

Art. 28.3 RGPD, el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, además de todas las estipulaciones relacionadas en dicho art. entre otras:

  • que tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
  • tomará todas las medidas necesarias de conformidad con el art. 32 RGPD
  • etc.

Art. 29 RGPD establece que "el encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros".

Art. 5 LOPDGDD relativo al deber de confidencialidad, dispone que "los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679".