El Informe 0309/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la actividad desarrollada por una entidad consultante exige la formalización de un contrato de encargado del tratamiento conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
La entidad consultante realiza actividades de pegado y ensobrado de etiquetas en cartas con folletos comerciales y recibe direcciones de personas físicas por correo o fax para realizar envíos. Estas actividades se consideran una prestación de servicios por cuenta de terceros, lo que implica el tratamiento de datos personales por cuenta de su cliente. Según la definición del artículo 3.g) de la Ley Orgánica 15/1999, la entidad consultante actúa como encargada del tratamiento, ya que trata datos personales por cuenta del responsable del tratamiento.
La doctrina de la Audiencia Nacional ha aclarado que el encargado del tratamiento debe limitarse a realizar el acto material del tratamiento encargado, sin ejercer una función o actividad independiente. Es esencial que el encargado del tratamiento no decida sobre el contenido, finalidad y uso del tratamiento, y que su actividad no le reporte beneficios adicionales a la prestación de servicios.
En los supuestos planteados, la entidad consultante actúa bajo los criterios fijados por su cliente, por lo que se considera encargada del tratamiento. Para formalizar esta relación, es imprescindible celebrar un contrato que cumpla con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999. Este contrato debe establecer que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable, sin utilizarlos para fines distintos ni comunicarlos a terceros.
El contrato debe regular también el periodo de conservación de los datos, que una vez cumplida la prestación contractual, deberán ser destruidos o devueltos al responsable del tratamiento. Además, el encargado del tratamiento no podrá ceder los datos a terceros y será responsable de cualquier incumplimiento de las estipulaciones del contrato.
Respecto a las cartas devueltas por direcciones incorrectas, estas deben ser devueltas al cliente, ya que forman parte de la prestación de servicios acordada. La inscripción del fichero de direcciones en el Registro General de Protección de Datos corresponde al responsable del fichero, que en este caso es el cliente de la consultante.
Finalmente, la entidad consultante puede mantener las direcciones en soporte papel mientras puedan derivarse responsabilidades de su relación con el responsable del tratamiento, debiendo bloquear los datos en dicho caso. Este informe subraya la importancia de cumplir con las normativas de protección de datos y de formalizar adecuadamente los contratos de encargado del tratamiento para garantizar la seguridad y privacidad de los datos personales.