El Informe 0299/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una Mutua de Accidentes de Trabajo y Enfermedades Profesionales debe ser considerada responsable o encargada del tratamiento de datos personales conforme a la Ley Orgánica 15/1999.
La consulta se centra en determinar el rol de las Mutuas en el tratamiento de datos de sus clientes. Según la Ley Orgánica 15/1999, el responsable del tratamiento es la persona o entidad que decide sobre la finalidad, contenido y uso del tratamiento de datos. La AEPD concluye que las Mutuas, al tratar los datos de sus clientes por cuenta propia, tienen la consideración de responsables del tratamiento.
El informe destaca que las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales son asociaciones autorizadas por el Ministerio de Trabajo y Asuntos Sociales, cuyo objeto principal es colaborar en la gestión de la Seguridad Social. Los empresarios pueden optar por afiliar a sus trabajadores a una Mutua para la gestión de contingencias laborales, lo que implica la comunicación de datos personales de los trabajadores a la Mutua correspondiente.
La AEPD subraya que, según la Ley General de la Seguridad Social, los empresarios están obligados a comunicar los datos de sus trabajadores a las Mutuas cuando optan por esta forma de protección. En este contexto, la Mutua decide sobre la finalidad, contenido y uso del tratamiento de los datos, lo que la convierte en responsable del tratamiento.
Por otro lado, el informe aclara que cuando una empresa contrata con una Mutua la protección de contingencias profesionales de sus trabajadores, la Mutua actúa como responsable del tratamiento, no como encargada. Esto se debe a que la Mutua realiza el tratamiento de datos en cumplimiento de sus funciones legales, no por cuenta de terceros.
En cuanto a la posición del consultante, que actúa por cuenta de la Mutua, se considera encargado del tratamiento. Esto implica que su actuación debe estar regulada por un contrato escrito que especifique las instrucciones del responsable del tratamiento y las condiciones bajo las cuales se realizarán los tratamientos de datos. El encargado del tratamiento debe limitarse a la prestación de los servicios contratados y no puede utilizar los datos para fines distintos a los acordados.
El informe también detalla las obligaciones del encargado del tratamiento, como la destrucción o devolución de los datos una vez cumplida la prestación contractual, la conservación bloqueada de los datos en caso de posibles responsabilidades, y la adopción de medidas de seguridad adecuadas. Además, se establece que el encargado del tratamiento debe comunicar al responsable cualquier subcontratación de servicios y asegurar que el subcontratista cumpla con las instrucciones del responsable.
En resumen, el Informe 0299/2009 de la AEPD clarifica que las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales son responsables del tratamiento de datos personales de sus clientes, mientras que los encargados del tratamiento, como el consultante, deben actuar bajo las instrucciones y condiciones establecidas por la Mutua en un contrato escrito.