El Informe 0227/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si las empresas dedicadas a la gestión de residuos, específicamente aquellas que ofrecen servicios de destrucción de documentos, son consideradas encargadas del tratamiento o responsables del tratamiento de datos personales según la Ley Orgánica 15/1999.
El informe comienza definiendo los conceptos clave: el responsable del tratamiento es quien decide sobre la finalidad, contenido y uso del tratamiento de datos, mientras que el encargado del tratamiento es quien procesa datos personales por cuenta del responsable. La distinción radica en la capacidad de decisión sobre el tratamiento de datos.
El artículo 12 de la Ley Orgánica 15/1999 establece que el acceso de un tercero a datos personales para prestar un servicio al responsable del tratamiento no se considera una cesión de datos, siempre y cuando se cumplan ciertas condiciones. Estas condiciones incluyen que el acceso a los datos sea necesario para la prestación del servicio y que la relación esté contractualmente establecida.
El contrato entre el responsable y el encargado del tratamiento debe ser por escrito y debe especificar que el encargado solo tratará los datos conforme a las instrucciones del responsable y no los utilizará para otros fines. Además, al término del contrato, los datos deben ser destruidos o devueltos al responsable.
El incumplimiento de estas condiciones puede llevar a que el encargado del tratamiento sea considerado responsable del tratamiento, respondiendo por las infracciones cometidas. Las medidas de seguridad que debe adoptar el encargado del tratamiento son las mismas que las impuestas al responsable del fichero.
En resumen, si una empresa contrata un servicio de destrucción de documentos y se cumplen todos los requisitos del artículo 12 de la Ley Orgánica 15/1999, la empresa contratante será la responsable del tratamiento de datos, mientras que la empresa prestadora del servicio será considerada encargada del tratamiento, respondiendo por cualquier incumplimiento de las condiciones contractuales.
El informe también destaca la importancia de limitar el acceso a datos personales o a los soportes que los contengan, incluso en servicios que no implican acceso directo a datos personales, asegurando la confidencialidad y el secreto de la información.