El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta de una entidad prestadora de servicios en el área de construcción, que solicita aclaración sobre su posición jurídica en el marco de la normativa de protección de datos, específicamente si debe ser considerada responsable o encargado del tratamiento de datos personales.
La entidad en cuestión ofrece servicios como control técnico, certificados de conformidad, prevención para empresas, coordinación en materia de seguridad y salud, asistencia en la gestión de riesgos operacionales, y control de calidad. Actualmente, el promotor de las obras es considerado responsable del tratamiento, mientras que la consultante se identifica como encargada del tratamiento respecto al acceso y comunicaciones del flujo de datos personales generados en las obras. Sin embargo, debido a su imparcialidad y libertad de criterio profesional, surgen dudas sobre su posible encaje dentro de la figura del responsable del tratamiento.
El informe define al responsable del tratamiento como la persona física o jurídica que determina los fines y medios del tratamiento, según el artículo 4.7 del Reglamento General de Protección de Datos (RGPD). Por otro lado, el encargado del tratamiento es quien procesa datos personales por cuenta del responsable, conforme al artículo 4.8 del RGPD. La figura del encargado del tratamiento se justifica por la necesidad de responder a la externalización de servicios, permitiendo que el acceso a datos personales por parte de terceros no se considere una cesión de datos, sino un tratamiento por cuenta del responsable.
El artículo 28 del RGPD regula la figura del encargado del tratamiento y exige la existencia de un contrato u otro acto jurídico que vincule al encargado con el responsable. Este contrato debe constar por escrito y establecer que el encargado tratará los datos personales únicamente siguiendo las instrucciones del responsable.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), también se refiere al encargado del tratamiento, disponiendo que el acceso a datos personales por parte de un encargado no se considerará comunicación de datos siempre que se cumpla lo establecido en el RGPD y en la propia ley.
El informe destaca que la condición de responsable del tratamiento viene dada por la potestad de determinar los fines y medios del tratamiento, mientras que el encargado debe limitarse a seguir las instrucciones del responsable. La existencia de un encargado del tratamiento se delimita por la imposibilidad de decisión sobre la finalidad, contenido y uso del tratamiento, y la inexistencia de una relación directa entre el afectado y el encargado.
La AEPD concluye que, en el caso de la entidad consultante, esta actúa como encargado del tratamiento, ya que sus funciones se realizan por cuenta del promotor, quien determina los fines y medios del tratamiento. La entidad consultante accede a los datos personales para prestar un servicio al promotor, siguiendo sus instrucciones y sin ejercer mando alguno sobre los trabajadores de la obra. Por lo tanto, la entidad consultante debe suscribir un contrato con el promotor que cumpla con los requisitos del artículo 28.3 del RGPD y del artículo 33 de la LOPDGDD, estableciendo las medidas de seguridad y las obligaciones del encargado del tratamiento.