Las empresas de mensajería como encargados del tratamiento

Como ya hemos visto, cada vez que se contrate la prestación de unos servicios, habrá que tener en cuenta si se ceden datos personales de nuestros clientes a ese nuevo prestador de servicios. En caso afirmativo estaríamos ante la figura de un encargado del tratamiento con el cual habrá de firmarse el correspondiente contrato responsable – encargado y se deberá evaluar si cumple con las obligaciones necesarias en materia de protección de datos.

En relación con este tema, nos encontramos con la situación de las empresas de mensajería, las cuales, pueden considerar que no tratan datos personales del responsable en base a que no se accede al contenido de las cartas o a que no se guardan los datos indicados en los sobres. Es por ello que procederemos a analizar esta situación, para ver si es así o si serán considerados encargados del tratamiento con todas las de la ley.

Como punto de partida, indicar que no es necesario que se acceda al contenido de las cartas para que exista o no un tratamiento. El hecho de que no se acceda a dicho contenido forma parte de una obligación constitucional, de acuerdo con el artículo 18.3 de la Constitución Española, por lo que no se trataría de un argumento válido para indicar la falta de tratamiento. Claramente, en el momento en el que se contrata un servicio de distribución de mensajería, no se espera que se vaya a realizar en modo alguno el acceso al contenido de las cartas.

Es decir, salvo servicios concretos como el envío de correos con certificación de texto o de burofaxes, este es un aspecto que queda protegido por nuestra propia Constitución y el secreto de las comunicaciones, cuyo quebrantamiento implica la comisión de un delito.

En segundo lugar, teniendo en cuenta lo que se consideran datos personales, de acuerdo con el artículo 4 del RGPD, se trataría de toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente.

Analizando esto, está claro que el dato de la persona de contacto que aparece en los sobres o los paquetes, sería un dato de carácter personal pues se trata de información sobre una persona física identificable cuya identidad puede determinarse mediante el nombre y/o la dirección.

Por si fuera poco, la ley que regula el servicio postal universal, indica que los prestadores de servicios postales no podrán facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones, y además determina la obligación de proteger la información transmitida o almacenada. Esto implica claramente que, además del nombre y la dirección indicados en el sobre, se consideran protegidos los datos relativos a la mera existencia del envío postal y a la identidad del remitente y el destinatario, entre otros, y que el hecho de que no se almacene la información, es decir, que no se haga una lista de los envíos, sino que sea meramente transmitida, quedará recogido también dentro de la protección de los datos personales.

Por tanto, atendiendo a la definición de encargado del tratamiento facilitada por la propia normativa de protección de datos, se estaría actuando como tal en el momento en el que se sigan las indicaciones del responsable que es quién decide sobre el tipo de envío, en que horario se deberá realizar y dónde se debe entregar la correspondencia. Es decir, el prestador del servicio no puede decidir sobre estas cuestiones sino que deberá dar exclusivo cumplimiento a las indicaciones de la empresa que contrata sus servicios.

En definitiva, queda claro que el prestador de servicios de mensajería es encargado pues accede a los datos personales indicados en el sobre, entre otros, y, como ya hemos visto, deberá garantizar, tal y como establece la normativa, que guardará la diligencia debida y que los datos no serán utilizados para otra finalidad. Para llevar esto a cabo, deberán tener firmado el contrato entre responsable y encargado, así como permitir y cooperar para que se evalúe su cumplimiento de la normativa de protección de datos poniendo a disposición de los responsables toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

¿Qué es la evaluación de encargado?

A algunos de vosotros puede que vuestros clientes empresa os hayan enviado una evaluación de encargado del tratamiento en la que os hacen una serie de preguntas sobre cómo tratáis los datos personales que os facilitan. Si no sabéis de que va el tema, no desesperéis y digáis “no, no lo hago”, porque es algo muy sencillo, necesario, útil y que conviene hacer.

Antes de nada, aclarar que no se trata de una evaluación de los servicios que prestamos a nuestros clientes, sino que únicamente está enfocada a la protección de datos.

Como ya hemos visto, el encargado del tratamiento es aquel que trata datos personales por cuenta del responsable del tratamiento.

¿Qué quiere decir esto? Pues que el responsable contrata a una persona para que le preste un servicio. A efectos de la protección de datos, ese prestador de servicios es un encargado del tratamiento ya que los datos que está tratando no son sus propios datos, ni de sus clientes, empleados, solicitantes de información, etcétera, sino que se trata de los datos que pone a su disposición el responsable de los mismos, el cual se los facilita para que pueda desempeñar la prestación del servicio contratado.

Sin embargo, esto no se aplica a cualquier prestador de servicio pues únicamente estaremos hablando de un encargado del tratamiento cuando los datos que el responsable pone a su disposición son datos de carácter personal. Es decir, debe tratarse de información sobre una persona física identificada o identificable, algo que no sucedería si lo que se contrata es la prestación de un servicio de limpieza o de mantenimiento de instalaciones o alojamiento web, entre otros.

Teniendo esto presente y una vez llegado a la conclusión de que se están tratando datos personales, tanto el RGPD como la LOPDGDD, establecen la importancia de que cualquiera que trate datos personales ofrezca garantías suficientes de que aplica medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos exigidos en materia de protección de datos de carácter personal.

En relación con esto, el artículo 5.2 del RGPD exige a los responsables no sólo una responsabilidad proactiva en cuanto al cumplimiento de los principios relativos al tratamiento indicados en el apartado 1 de dicho artículo, sino que estos también deben ser capaces de demostrar que efectivamente se ha cumplido con lo dispuesto en dichos principios.

Y esto no es sólo algo del reglamento europeo sino que además, en la propia legislación española, se refuerza esta responsabilidad activa indicándose en el artículo 28.1 de la LOPDGDD que ambos, responsable y encargado, aplicarán de manera efectiva medidas técnicas y organizativas para garantizar y acreditar que el tratamiento se realiza conforme a la normativa de protección de datos.

Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

Además de lo que hemos visto, se indica en el artículo 28.1 del RGPD que el responsable tiene una responsabilidad proactiva a la hora de elegir un prestador de servicio que trate los datos que se le facilitan de manera diligente ofreciendo así garantías en cuanto a que el servicio que presta se hace conforme a la normativa al cumplirse con la protección de datos.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y otra vez, por si no fuera suficiente, dicha exigencia se reitera en el considerando 81 del RGPD, en el cual se requiere de nuevo que el responsable recurra únicamente a aquellos encargados que ofrezcan garantías suficientes en lo que respecta al tratamiento de los datos que realizan.

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

Por tanto, queda claro que para cumplir con todo lo dispuesto en la normativa de protección de datos, el responsable deberá establecer un procedimiento de evaluación de sus encargados mediante el cual pueda dirimir, e incluso llegar a acreditar en el caso de que fuese necesario, que la elección del prestador de servicios se realizó conforme a la normativa en materia de protección de datos y en consonancia con el principio de responsabilidad proactiva que rige cualquier tratamiento de datos.

Y dirás “pues es un problema del responsable, que se haga él el cuestionario”, pero eso no es del todo así.

De acuerdo con lo establecido en el artículo 28.3.h) del RGPD, el encargado deberá colaborar con el responsable facilitándole toda la información que éste necesite para demostrar el cumplimiento de las obligaciones que se le imponen en materia de protección de datos. El cumplimiento de este precepto normativo entonces se haría efectivo mediante la cumplimentación de la evaluación.

[El encargado] pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Entonces, según todo lo que hemos visto, para dar cumplimiento a las exigencias dispuestas en el RGPD y en la LOPDGDD, los encargados del tratamiento deben cumplir y respetar todas las normas y obligaciones aunque no se trate de sus datos, así como colaborar con los responsables poniendo a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

En definitiva, y como ya hemos visto, el cumplimiento de la normativa en materia de protección de datos es importante pues las sanciones administrativas en caso contrario son de gran envergadura.

Aun así, y de todas maneras, el cumplimiento de la normativa de protección de datos debe hacerse en todo caso, por lo que tampoco es que nos suponga un esfuerzo extra el completar un cuestionario como encargados que, por otro lado, nos están pidiendo nuestros propios clientes.

Las comunidades de propietarios y la protección de datos

Sucede en muchas comunidades de propietarios (empezando por la mía) que no llevan ningún control en materia de protección de datos.

Puede pasar que el presidente sea un señor que no ha oído hablar nunca de la protección de datos, que está ahí porque tuvo la mala suerte de que le tocó por sorteo o porque quiere arreglar algo del edificio y ha visto que el anterior presidente no se ponía las pilas con el tema pero, lo cierto es, que la protección de datos le da absolutamente lo mismo.

En estos casos, el administrador de fincas es el que debería asesorarles sobre este tema, pero también sucede en muchos casos que el administrador de fincas tampoco tiene mucha idea de la protección de datos que el propio presidente.

¿En qué me baso para decir que a las comunidades de propietarios se les aplica la normativa de protección de datos? En que, se quiera o no, una comunidad realiza el tratamiento de datos de personas físicas. Simple y llanamente.

Todos sabemos ya que la comunidad de propietarios, bajo la representación de su presidente, dispone de los datos del resto de vecinos ¿no es así?

Es decir, que para su propia gestión, la comunidad de propietarios dispone de datos personales de los propietarios como pueden ser el nombre, los apellidos, la dirección, el número de cuenta bancaria desde el que realiza el pago de las cuotas de la comunidad, entre otros.

Vamos que tratar, tratan datos y, como ya sabemos, cuando existe tratamiento de datos debe cumplirse con lo dispuesto en la normativa de protección de datos.

Y todo esto sin entrar a hablar de la videovigilancia, porque como la comunidad tenga cámaras de seguridad eso es ya otro tratamiento de datos adicional al derivado de la gestión de la finca.

Pero esto no es así porque lo diga yo, sino que la propia Agencia Española de Protección de Datos (AEPD) en su página de preguntas frecuentes ya resuelve esa cuestión controvertida dentro del apartado “10. COMUNIDADES DE PROPIETARIOS” en el que, en la primera pregunta “10.1.- ¿Se aplica la normativa de protección de datos a las comunidades de propietarios?” habla de la aplicación de esta normativa en las comunidades pues, claramente, se realiza un tratamiento de datos de carácter personal de personas físicas.

Por otro lado, también existe un artículo en el blog de la AEPD, en el que, sin lugar a dudas, se habla de las comunidades de propietarios como responsables del tratamiento, del mismo modo que los administradores de fincas serían encargados, además de indicar una serie de obligaciones que deben llevar ambos a cabo.

Por último, y por si eres una persona escéptica y aun no te fías, te lo digo de otro modo: dado que no hay duda alguna de que los administradores de fincas son encargados del tratamiento, y que no pueden existir como tal por sí mismos pues precisamente la figura del encargado coge los datos que le proporciona el responsable para destinarlos a unos fines del tratamiento que este último le indica, no podría existir la figura de los administradores de fincas como encargados del tratamiento si no hubiese un responsable (la comunidad) que le proporcione los datos que aquel gestiona bajo sus directrices.