El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posición jurídica de las empresas subcontratadas por Correos y Telégrafos S.A. SME para el transporte de correo entre centros logísticos. El objetivo es determinar si estas empresas subcontratadas actúan como encargados del tratamiento de datos personales o si su servicio no implica acceso a dichos datos.
Correos presta servicios postales que incluyen la recogida, admisión, clasificación, gestión, transporte, distribución y entrega de correspondencia. En muchas ocasiones, el transporte del correo por carretera se subcontrata a empresas de transporte. Estas empresas se encargan de recoger el correo en un centro logístico de Correos y entregarlo en otro, sin que este servicio implique la entrega directa a los destinatarios.
El informe analiza las diferentes posiciones jurídicas que Correos puede ostentar en relación con el tratamiento de datos personales, dependiendo de los servicios que presta. Según el Reglamento General de Protección de Datos (RGPD), un responsable del tratamiento es quien determina los fines y medios del tratamiento, mientras que un encargado del tratamiento es quien procesa datos personales por cuenta del responsable.
El RGPD establece que el responsable del tratamiento debe garantizar la protección de los datos personales mediante el cumplimiento de los principios recogidos en su artículo 5.1, documentando adecuadamente todas las decisiones adoptadas. Además, el encargado del tratamiento tiene obligaciones específicas, como garantizar la confidencialidad de las personas autorizadas para tratar datos personales, llevar un registro de las actividades de tratamiento y aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
El informe destaca que, en el caso concreto del transporte de correo entre centros logísticos, la prestación del servicio no requiere el acceso a datos personales contenidos en el exterior de las cartas y paquetes. La mercancía se carga en el vehículo de manera ordenada y, en la mayoría de los casos, no va embalada, pero los datos de las etiquetas no son visibles. Solo en circunstancias excepcionales, el transportista podría visualizar los datos personales de los paquetes, pero esto no implica un tratamiento total o parcialmente automatizado de los datos.
Por lo tanto, la AEPD concluye que las empresas subcontratadas por Correos para el transporte de correo deben ser consideradas como terceros, según la definición del artículo 4.10 del RGPD. Correos, como responsable del tratamiento, debe adoptar todas las medidas de seguridad necesarias para evitar que los transportistas accedan a los datos personales y establecer un deber de confidencialidad en caso de acceso accidental a dichos datos.
En resumen, el informe jurídico de la AEPD determina que las empresas subcontratadas por Correos para el transporte de correo entre centros logísticos no actúan como encargados del tratamiento de datos personales, ya que su servicio no implica acceso a dichos datos. Correos debe garantizar la protección de los datos personales y adoptar las medidas de seguridad necesarias para evitar el acceso no autorizado a los mismos.