El Informe 0263/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la protección de datos en el contexto de las franquicias y la contratación de delegados comerciales.
En primer lugar, el informe analiza si la empresa franquiciadora puede ser considerada la única responsable del fichero, mientras que las franquiciadas actúan como encargadas del tratamiento. Según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, la actividad comercial en régimen de franquicia implica la cesión de un sistema de comercialización de la franquiciadora a la franquiciada, manteniendo ambas entidades personalidades jurídicas independientes. Esto significa que cada entidad es responsable de cumplir con sus propias obligaciones legales en materia de protección de datos, incluyendo la notificación de sus tratamientos para su inscripción en el Registro General de Protección de Datos.
Los ficheros de las franquiciadas deben ser declarados de manera separada, ya que atienden a finalidades diversas y benefician a cada una de las partes del contrato. Cualquier intercambio de datos entre franquiciadas constituye una cesión de datos, que requiere el consentimiento previo de los interesados, salvo en casos excepcionales. Por lo tanto, las franquiciadas no pueden ser consideradas encargadas del tratamiento por la franquiciadora.
En segundo lugar, el informe examina si los delegados comerciales contratados por una empresa pueden ser considerados encargados del tratamiento. Para ello, define las figuras del responsable y el encargado del tratamiento según la Ley Orgánica 15/1999 y el Real Decreto 1720/2007. El responsable del tratamiento es quien decide sobre la finalidad, contenido y uso del tratamiento, mientras que el encargado del tratamiento es quien procesa datos personales por cuenta del responsable.
La doctrina de la Audiencia Nacional y la jurisprudencia establecen que un encargado del tratamiento debe limitarse a realizar el acto material de tratamiento encargado, sin decidir sobre la finalidad del tratamiento. En el caso de los delegados comerciales, si actúan por cuenta de la empresa contratante y tratan datos personales para prestar un servicio específico, pueden ser considerados encargados del tratamiento. Sin embargo, es imprescindible que exista un contrato entre ambas partes que regule esta relación y cumpla con los requisitos establecidos en la Ley Orgánica 15/1999 y su reglamento de desarrollo.
En resumen, el informe concluye que las franquiciadas no pueden ser consideradas encargadas del tratamiento por la franquiciadora, ya que cada entidad es responsable de sus propios ficheros y tratamientos de datos. En cuanto a los delegados comerciales, pueden ser considerados encargados del tratamiento si actúan por cuenta de la empresa contratante y existe un contrato que regule esta relación, cumpliendo con la normativa vigente en materia de protección de datos.