Al tratar datos personales, hay dos figuras tan similares que a veces pueden resultar confusas. En mi experiencia, muchas de las dudas que nos plantean nuestros clientes tienen que ver con la diferenciación entre un encargado, un responsable y un corresponsable del tratamiento. Es por ello que conviene aprender a ver lo que las separa. Especialmente porque cada figura tiene un régimen de responsabilidad y unas obligaciones concretas que debe cumplir, toda vez que, tratar a alguien como un encargado cuando en realidad es un corresponsable puede suponer un problema a la larga. Así que, como decimos, hace falta tener nociones básicas para distinguir cada figura.

Para empezar, vayamos a la fuente (y luego tratemos de traducir lo que significan estas definiciones técnicas). El RGPD nos explica qué es responsable del tratamiento al determinar que lo es la «persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento«.

Por otro lado, siguiendo esta misma norma jurídica se entiende como encargado del tratamiento a aquélla «persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento«.

Como colofón, el RGPD nos dice que «cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento«.

Con esto ya podemos extraer una serie de conceptos claves que nos servirán para diferenciar las tres categorías en nuestro día a día:

 – ¿Es alguien que determine los fines y medios del tratamiento (cómo empieza, cómo acaba, qué datos se tratará, con qué finalidad,…)?: entonces estamos ante un responsable del tratamiento.

 – ¿Es un tercero que no decide sobre los fines y medios pero que trata los datos porque se lo ha pedido el responsable?: entonces estamos ante un encargado del tratamiento.

 – ¿Son dos entidades que, a la vez, determinan los fines y medios del tratamiento?: entonces ambas entidades son corresponsables del tratamiento.

En general, este primer cribado nos servirá para establecer distinciones entre estas figuras. Pero por desgracia la realidad suele ser más complicada toda vez que, a veces, no queda claro si alguien es un encargado o un corresponsable.

Si nos encontramos en este caso lo único que se puede hacer es revisar las resoluciones de la AEPD y de los organismos europeos que interpretan la normativa de protección de datos (entre los que destacan el ya extinto Grupo de Trabajo del Artículo 29, o GT29). Ello nos permitirá tener unas nociones más específicas sobre cómo categorizar cada situación concreta.

Por ejemplo, el Grupo de Trabajo del Artículo 29 (GT 29), creado por la Directiva 95/46/CE, ya en 2010, mucho antes de la publicación del nuevo RGPD, vino a publicar la Opinión 1/2010 en la que intentaba de distinguir entre responsable y encargado. En dicho texto (que se puede leer aquí) encontramos algunas ideas bastante interesantes como las que ac:

• Puede ser buena idea preguntarse por qué se realiza el tratamiento. ¿La compañía externa lo habría realizado de no habérselo pedido el responsable? Si la respuesta es no, probablemente estemos ante un encargado, no ante un corresponsable.
• Aunque una parte «determine medios» tales como el hardware o el software que se use en el tratamiento, eso no la convierte automáticamente en corresposable. Lo que importa son los elementos esenciales: quién tendrá acceso a los datos, durante cuánto tiempo se conservarán,… Quien determine eso será responsable/corresponsable.
• El hecho de que varios sujetos colaboren al tratar datos (el GT29 pone el ejemplo de una cadena productiva) no significa que sean siempre corresponsables. Si los distintos tratamientos no comparten propósitos, por ejemplo, puede la comunicación de datos entre sujetos sea únicamente una transferencia de esos datos llevada a cabo entre responsables diferenciados.
• El elemento más importante para determinar que alguien es encargado es lo de «por cuenta del responsable del tratamiento». Si alguien está obligado a seguir ese mandato, será encargado del tratamiento. Si puede determinar aspectos por sí mismo, será corresponsable.
• Aceptar unos «términos del servicio» estándar de la empresa X no significa que al tratar los datos la empresa X se convierta en corresponsable.

Por su parte, la Agencia Española de Proctección de Datos (AEPD) va -como es natural- en idéntico sentido. No vamos a ser demasiado minuciosos para no aburrir, pero sí que puede ser buena idea revisar las Directrices para la elaboración de contratos entre responsables y encargados (que se puede leer aquí).

Y de ahí podemos resaltar un par de ideas:

• El encargado nunca puede variar las finalidades o usos de los datos, ni los puede usar para sus propias finalidades.
• El encargado está obligado a cumplir con las instrucciones -relativas a datos- de quien le encomiende el servicio.

Con todas estas ideas, suponemos que será más sencillo distinguir a cada figura. Si su situación es demasiado específica o compleja, por supuesto, siempre es recomendable consultar a expertos en el tema y en este sentido, desde AUREN, estamos a su disposición.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales