Las empresas de mensajería como encargados del tratamiento

Como ya hemos visto, cada vez que se contrate la prestación de unos servicios, habrá que tener en cuenta si se ceden datos personales de nuestros clientes a ese nuevo prestador de servicios. En caso afirmativo estaríamos ante la figura de un encargado del tratamiento con el cual habrá de firmarse el correspondiente contrato responsable – encargado y se deberá evaluar si cumple con las obligaciones necesarias en materia de protección de datos.

En relación con este tema, nos encontramos con la situación de las empresas de mensajería, las cuales, pueden considerar que no tratan datos personales del responsable en base a que no se accede al contenido de las cartas o a que no se guardan los datos indicados en los sobres. Es por ello que procederemos a analizar esta situación, para ver si es así o si serán considerados encargados del tratamiento con todas las de la ley.

Como punto de partida, indicar que no es necesario que se acceda al contenido de las cartas para que exista o no un tratamiento. El hecho de que no se acceda a dicho contenido forma parte de una obligación constitucional, de acuerdo con el artículo 18.3 de la Constitución Española, por lo que no se trataría de un argumento válido para indicar la falta de tratamiento. Claramente, en el momento en el que se contrata un servicio de distribución de mensajería, no se espera que se vaya a realizar en modo alguno el acceso al contenido de las cartas.

Es decir, salvo servicios concretos como el envío de correos con certificación de texto o de burofaxes, este es un aspecto que queda protegido por nuestra propia Constitución y el secreto de las comunicaciones, cuyo quebrantamiento implica la comisión de un delito.

En segundo lugar, teniendo en cuenta lo que se consideran datos personales, de acuerdo con el artículo 4 del RGPD, se trataría de toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente.

Analizando esto, está claro que el dato de la persona de contacto que aparece en los sobres o los paquetes, sería un dato de carácter personal pues se trata de información sobre una persona física identificable cuya identidad puede determinarse mediante el nombre y/o la dirección.

Por si fuera poco, la ley que regula el servicio postal universal, indica que los prestadores de servicios postales no podrán facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones, y además determina la obligación de proteger la información transmitida o almacenada. Esto implica claramente que, además del nombre y la dirección indicados en el sobre, se consideran protegidos los datos relativos a la mera existencia del envío postal y a la identidad del remitente y el destinatario, entre otros, y que el hecho de que no se almacene la información, es decir, que no se haga una lista de los envíos, sino que sea meramente transmitida, quedará recogido también dentro de la protección de los datos personales.

Por tanto, atendiendo a la definición de encargado del tratamiento facilitada por la propia normativa de protección de datos, se estaría actuando como tal en el momento en el que se sigan las indicaciones del responsable que es quién decide sobre el tipo de envío, en que horario se deberá realizar y dónde se debe entregar la correspondencia. Es decir, el prestador del servicio no puede decidir sobre estas cuestiones sino que deberá dar exclusivo cumplimiento a las indicaciones de la empresa que contrata sus servicios.

En definitiva, queda claro que el prestador de servicios de mensajería es encargado pues accede a los datos personales indicados en el sobre, entre otros, y, como ya hemos visto, deberá garantizar, tal y como establece la normativa, que guardará la diligencia debida y que los datos no serán utilizados para otra finalidad. Para llevar esto a cabo, deberán tener firmado el contrato entre responsable y encargado, así como permitir y cooperar para que se evalúe su cumplimiento de la normativa de protección de datos poniendo a disposición de los responsables toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

¿Qué es la evaluación de encargado?

A algunos de vosotros puede que vuestros clientes empresa os hayan enviado una evaluación de encargado del tratamiento en la que os hacen una serie de preguntas sobre cómo tratáis los datos personales que os facilitan. Si no sabéis de que va el tema, no desesperéis y digáis “no, no lo hago”, porque es algo muy sencillo, necesario, útil y que conviene hacer.

Antes de nada, aclarar que no se trata de una evaluación de los servicios que prestamos a nuestros clientes, sino que únicamente está enfocada a la protección de datos.

Como ya hemos visto, el encargado del tratamiento es aquel que trata datos personales por cuenta del responsable del tratamiento.

¿Qué quiere decir esto? Pues que el responsable contrata a una persona para que le preste un servicio. A efectos de la protección de datos, ese prestador de servicios es un encargado del tratamiento ya que los datos que está tratando no son sus propios datos, ni de sus clientes, empleados, solicitantes de información, etcétera, sino que se trata de los datos que pone a su disposición el responsable de los mismos, el cual se los facilita para que pueda desempeñar la prestación del servicio contratado.

Sin embargo, esto no se aplica a cualquier prestador de servicio pues únicamente estaremos hablando de un encargado del tratamiento cuando los datos que el responsable pone a su disposición son datos de carácter personal. Es decir, debe tratarse de información sobre una persona física identificada o identificable, algo que no sucedería si lo que se contrata es la prestación de un servicio de limpieza o de mantenimiento de instalaciones o alojamiento web, entre otros.

Teniendo esto presente y una vez llegado a la conclusión de que se están tratando datos personales, tanto el RGPD como la LOPDGDD, establecen la importancia de que cualquiera que trate datos personales ofrezca garantías suficientes de que aplica medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos exigidos en materia de protección de datos de carácter personal.

En relación con esto, el artículo 5.2 del RGPD exige a los responsables no sólo una responsabilidad proactiva en cuanto al cumplimiento de los principios relativos al tratamiento indicados en el apartado 1 de dicho artículo, sino que estos también deben ser capaces de demostrar que efectivamente se ha cumplido con lo dispuesto en dichos principios.

Y esto no es sólo algo del reglamento europeo sino que además, en la propia legislación española, se refuerza esta responsabilidad activa indicándose en el artículo 28.1 de la LOPDGDD que ambos, responsable y encargado, aplicarán de manera efectiva medidas técnicas y organizativas para garantizar y acreditar que el tratamiento se realiza conforme a la normativa de protección de datos.

Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

Además de lo que hemos visto, se indica en el artículo 28.1 del RGPD que el responsable tiene una responsabilidad proactiva a la hora de elegir un prestador de servicio que trate los datos que se le facilitan de manera diligente ofreciendo así garantías en cuanto a que el servicio que presta se hace conforme a la normativa al cumplirse con la protección de datos.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y otra vez, por si no fuera suficiente, dicha exigencia se reitera en el considerando 81 del RGPD, en el cual se requiere de nuevo que el responsable recurra únicamente a aquellos encargados que ofrezcan garantías suficientes en lo que respecta al tratamiento de los datos que realizan.

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

Por tanto, queda claro que para cumplir con todo lo dispuesto en la normativa de protección de datos, el responsable deberá establecer un procedimiento de evaluación de sus encargados mediante el cual pueda dirimir, e incluso llegar a acreditar en el caso de que fuese necesario, que la elección del prestador de servicios se realizó conforme a la normativa en materia de protección de datos y en consonancia con el principio de responsabilidad proactiva que rige cualquier tratamiento de datos.

Y dirás “pues es un problema del responsable, que se haga él el cuestionario”, pero eso no es del todo así.

De acuerdo con lo establecido en el artículo 28.3.h) del RGPD, el encargado deberá colaborar con el responsable facilitándole toda la información que éste necesite para demostrar el cumplimiento de las obligaciones que se le imponen en materia de protección de datos. El cumplimiento de este precepto normativo entonces se haría efectivo mediante la cumplimentación de la evaluación.

[El encargado] pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Entonces, según todo lo que hemos visto, para dar cumplimiento a las exigencias dispuestas en el RGPD y en la LOPDGDD, los encargados del tratamiento deben cumplir y respetar todas las normas y obligaciones aunque no se trate de sus datos, así como colaborar con los responsables poniendo a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

En definitiva, y como ya hemos visto, el cumplimiento de la normativa en materia de protección de datos es importante pues las sanciones administrativas en caso contrario son de gran envergadura.

Aun así, y de todas maneras, el cumplimiento de la normativa de protección de datos debe hacerse en todo caso, por lo que tampoco es que nos suponga un esfuerzo extra el completar un cuestionario como encargados que, por otro lado, nos están pidiendo nuestros propios clientes.