Hasta este momento de la Obra hemos analizado las distintas características del tratamiento de datos, personales y no personales, con fines publicitarios, viendo además, como los requisitos para dicho tratamiento pueden mutar en función del medio escogido para realizar una determinada campaña publicitaria. Los supuestos vistos, en su mayoría, presuponían que quién recaba los datos y quien los utiliza, son una misma entidad. La única excepción a este caso vista hasta ahora, fue la considerada en la Capítulo 4 donde se introdujeron las figuras del beneficiario de la publicidad y las empresas publicitarias, lo que implicaba por ende, la intervención de más de una entidad en un mismo tratamiento publicitario. En esta Capítulo profundizaremos en los supuestos en que los datos obtenidos de una persona física o jurídica, son accedidos más allá de la entidad que se beneficia de una acción promocional concreta. En este punto de la Obra abordaremos los requisitos básicos para la cesión de un dato personal a un tercero y aprenderemos a diferenciar este supuesto de los de un encargo a un tercero de un tratamiento concreto de datos; veremos que las diferencias pueden no ser percibidas a simple vista pero que las consecuencias jurídicas de ambos supuestos son muy importantes. Así mismo abordaremos un paso más en el tratamiento de datos por cuenta de terceros, como es el subencargo de dicho tratamiento a otro tercero; esta es una novedad legislativa introducida por el RLOPD a la luz de las opiniones y resoluciones de la AEPD en este ámbito. Por último analizaremos un supuesto especial que puede combinar todas o varias de las figuras jurídicas incluidas en este párrafo y que, además de los requisitos generales para la cesión o encargo del tratamiento de datos, dispone de importantes requisitos adicionales: las transferencias internacionales de datos.
1 Cesión o comunicación de datos personales
Un simple vistazo al listado de resoluciones de la AEPD, aporta una idea de la importancia que tiene en el ámbito que nos ocupa, la cesión o comunicación de datos personales. Este es un tipo específico de tratamiento de datos (ver Capítulo 2) y consiste en “toda revelación de datos realizada a una persona distinta del interesado”, según la LOPD o, en palabras similares del RLOPD en el “Tratamiento de datos que supone su revelación a una persona distinta del interesado”.
La importancia de este fenómeno, además de los motivos apuntados, queda consagrada en la, varias veces mencionada, STC 292/2000, donde en su Fundamento Jurídico 13º, el Alto Tribunal argumenta que “el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites.” El Tribunal Constitucional añade a continuación “De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de la cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento”.
En función pues de las definiciones legales, de la doctrina constitucional y de la reiterada doctrina de la AEPD, estamos en este punto en disposición de definir los rasgos generales de la cesión o comunicación de datos:
Se trata, sin duda, de un concepto muy amplio ya que únicamente exige que el dato personal del interesado, tratado por un responsable de un fichero o tratamiento, sea comunicado o puesto a disposición de un tercero, entendiendo por tercero cualquier persona o entidad que no pertenezca a la organización del citado responsable. Veamos seguidamente, algunos de los rasgos que definen la amplitud del concepto de comunicación de datos:
Para identificar la cesión o comunicación de datos no es relevante, por ejemplo, la naturaleza jurídica privada o pública del tercero que accede al dato.
Debe entenderse también como cesión de un dato no solamente la entrega material del dato a un tercero, sino cuando quien lo conserva, permite el acceso a sus sistemas de terceros.
En supuestos de comunicación de datos entre empresas de un mismo grupo, deban respetarse escrupulosamente los requisitos generales como si del caso de dos empresas independientes se tratara. En este sentido, ver Informe Jurídico de la AEPD 325/2004, especialmente en su apartado IV, donde se recogen las características que debe contener una cláusula informativa que pretenda obtener el consentimiento para ceder datos entre empresas de un mismo grupo empresarial, con fines publicitarios.
Asimismo esta amplitud se completa con que no solamente se persigue la cesión intencionada del dato, sino cualquier cesión negligente.
Estos son solo algunos de las características que permiten argumentar que el concepto de cesión de datos es ciertamente amplio y que explican, como hemos comentado, las reiteradas ocasiones en que tanto la AEPD como los tribunales competentes se han pronunciado en este ámbito.
El segundo rasgo definitorio de la comunicación de datos es que el tratamiento de un dato personal fruto de una cesión o comunicación del mismo, constituye un tratamiento autónomo al inicial por el que se recabó el dato. Esto implica que quien trata un dato por haberle sido comunicado, se convierte en un nuevo responsable del tratamiento, con las obligaciones que esta figura lleva implícitas que se estudiaron en el Capítulo 2. Esto es así por qué quien recibe el dato (cesionario) va a tratarlo para una finalidad autónoma e independiente de quien lo cede (cedente), de forma que el inicial consentimiento del interesado al cedente, no resulta válido para un tratamiento ulterior del dato por parte de una entidad diferente de quien lo recabó.
Como en todo el ámbito de la normativa de protección de datos, la protección del interesado se basa, también en el caso de las cesiones, en el consentimiento. Durante este Capítulo veremos las características que debe tener este consentimiento.
1.1 Requisitos para la cesión o la comunicación de datos
La cesión o comunicación de datos personales se regula en el artículo 11 de la LOPD, del que se desprende que dicho tratamiento de datos estará de acuerdo a la normativa siempre que:
Se cuente con el consentimiento previo del interesado.
La comunicación de datos debe responder a fines directamente relacionados con las funciones legítimas del cedente y el cesionario de los datos.
Empezando por el segundo de los requisitos, este exige que la cesión se circunscriba a las funciones propias, específicas y típicas del cedente y el cesionario. Este requisito no ha sido excesivamente abordado en resoluciones judiciales, que se basan esencialmente en el consentimiento del afectado, es por ello que en este punto nos centraremos en dicho consentimiento. De todas formas y a los efectos de cubrir también esta obligación legal y ajustándonos a la comunicación de datos con fines comerciales o promocionales, sería necesario que dicha cesión no difiera en exceso de las funciones propias del cedente y el cesionario, limitándose a su campo de actividad profesional; es por ello que para un correcto respeto de este requisito del artículo 11 en el ámbito de la publicidad, es un buen criterio analizar las actividades de cedente y cesionario para resolver si una eventual cesión de datos entre ambos, responde o no a sus funciones legítimas.
El requisito más importante de cualquier forma, es el del consentimiento del afectado o interesado. Enlazando con el requisito apuntado en el párrafo anterior, la doctrina actual no es pacífica en relación a determinar qué sucedería si se obtiene el consentimiento para una cesión de datos que no responde a las funciones legítimas de cedente y cesionario. Esta discusión doctrinal pone de relieve que los dos requisitos de la cesión de datos no son vistos por todos como acumulativos, sino que el requisito del consentimiento es el determinante para valorar la legalidad de la cesión del dato. Es por ello que, de alguna forma, la necesidad de demostrar la legitimidad de las funciones del cedente y el cesionario, queda claramente subordinada al consentimiento, pieza básica, como se ha ido viendo, de la protección de datos.
Tipo de consentimiento
Como ya hemos señalado la comunicación o cesión no deja de ser un tratamiento específico de datos, es por este motivo que cuando nos hacemos la pregunta de en qué forma debe obtenerse el consentimiento para una cesión de datos, debemos hallar la respuesta en los criterios generales del consentimiento para cualquier tratamiento de datos, así dicho consentimiento deberá ser:
“Inequívoco”. En palabras de la Real Academia de la Lengua Española, inequívoco responde a aquello que “no admite duda o equivocación y, por contraposición a equívoco lo que no puede entenderse o interpretarse en varios sentidos o que no puede dar ocasión a juicios diversos”. Esta definición ha sido utilizada por la Audiencia Nacional en su Sentencia de 30 de junio de 2004, donde añade “(…) si bien es cierto que no puede exigirse para la obtención del consentimiento de los afectados, a la hora de tratar o ceder sus datos personales, que tal consentimiento se otorgue mediante el envío de correo certificado, al no estipularlo así ningún precepto de la normativa de aplicación, la persona física o jurídica que pretenda obtener tal consentimiento si deberá arbitrar los medios necesarios para que no quepa duda de que efectivamente tal consentimiento ha sido prestado, es decir, que la cesión de los datos ha sido consentida de modo lo suficientemente claro para que no pueda interpretarse en otro sentido”.
A los efectos de recabar este consentimiento de forma inequívoca, la información que se facilite al interesado deberá permitirle conocer en todo caso, la finalidad para la cual se autoriza la cesión de datos o el tipo de actividad de aquel a quien se pretenden comunicar los datos (art. 11.3 LOPD). Estas características de la información a facilitar, resultan básicas para determinar que el consentimiento es informado al haber sido otorgado de forma inequívoca. En este sentido y a efectos de informar de la finalidad para la que se tratarán los datos en el caso de consentir la comunicación, resulta íntegramente aplicable lo expuesto en el Capítulo 3 sobre el principio de finalidad, en el sentido que dicha finalidad debe ser determinada, explícita y legítima. Una cláusula informativa para recabar el consentimiento para la cesión de datos que incumpla estos requisitos, implicaría la nulidad de dicho consentimiento. En este sentido la Audiencia Nacional ha sancionado las cláusulas que pretenden obtener el consentimiento para la cesión de datos, demasiado inconcretas o genéricas (por ejemplo en las Sentencias de 29 de abril de 2005, 30 de noviembre de 2005 o 18 de mayo de 2006), en esta última por ejemplo, considera que una cláusula que pretende recabar el consentimiento para la cesión de datos con fines de “publicidad u oferta de categorías de bienes y servicios que pudieran resultar de su interés”, debe ser considerada nula. En el ámbito de la AEPD y en la misma línea expuesta por la Audiencia Nacional esta es del criterio de que la finalidad es “(…) clave esencial en la cesión y tratamiento de los datos de carácter personal” (ver Informe Jurídico 0056/2009). La misma AEPD en el ámbito concreto de la cesión de datos personales con fines publicitarios expuso en su Informe Jurídico 325/2004 “(…) la mera referencia al uso de los datos con fines de “publicidad” o “remisión de información” de productos o servicios, sin especificar el sector al que los mismos vienen referidos no resultaría suficiente para considerar el consentimiento prestado como “específico” e “inequívoco.”
Por último la necesidad que el consentimiento para la cesión de datos deba ser inequívoca no implica, como bien apunta la Audiencia Nacional y como ya sabemos según lo estudiado hasta este punto, que este consentimiento, deba darse de forma expresa. Ya hemos visto que en la mayoría de los supuestos de recopilación de datos para fines promocionales, la recopilación de un consentimiento tácito sería suficiente, lo que también valdría para la comunicación de dichos datos, siendo por tanto aplicable el procedimiento establecido en el artículo 14 del RLOPD. Por el contrario en aquellos casos en que el consentimiento para el tratamiento de datos con fines publicitarios deba ser expreso (ver Capítulo 5), la posterior cesión de dichos datos con fines comerciales mediante servicios de la sociedad de la información o de telecomunicaciones, también exigirá un consentimiento expreso. En cualquier caso y con independencia del modo de obtener el consentimiento que resulte aplicable, quien informa de la cesión debe estar en situación de demostrar que ha puesto todos los medios para informar al interesado de las características de la cesión, para que esta disponga de todos los elementos necesarios para decidir si consiente o no con la misma.
“Previo”. Pocas dudas admite, a nuestro entender, la inclusión en este artículo 11.1 de esta característica al consentimiento. Así para que el consentimiento obtenido para la cesión de datos personales sea válido en derecho, este consentimiento deberá haberse obtenido con anterioridad a la efectiva cesión del dato o que el dato sea accesible por el tercero. Cualquier otra circunstancia implicaría una cesión no consentida de datos y la aplicación del régimen sancionador aplicable.
“Revocable”. De la misma forma que es revocable el consentimiento para el tratamiento de datos personales, lo es para su cesión (siendo la cesión, recordemos, una forma más de tratamiento de datos). La inclusión de esta previsión en el artículo 11.4 de la LOPD tiene sentido para los supuestos en que la comunicación de datos personales del interesado se perpetúe en el tiempo o se vaya haciendo de forma periódica, así el inicial consentimiento de dicho interesado para la citada cesión, puede ser, en cualquier momento, revocado. Así mismo si se obtiene el consentimiento para la cesión, pero esa cesión aún no se ha realizado, la revocabilidad también sería aplicable. Esta revocación no tendrá, en ningún caso, efectos retroactivos.
En el caso de empresas de un mismo Grupo empresarial, en el caso que la revocación del consentimiento se realice, como sería el caso habitual, ante la empresa que recopiló el dato, debe establecerse un sistema interno por el cual esta comunique a las empresas del Grupo la revocación del consentimiento, lo que implicaría que la revocación del consentimiento ante una sola empresa, debe tener las mismas consecuencias en todas las que forman un determinado Grupo empresarial. En palabras de la AEPD en el ya mencionado, Informe Jurídico 325/2004 “Por este motivo, y a fin de garantizar que en todo momento el tratamiento de los datos efectuado por cualquiera de las empresas del Grupo cumple lo dispuesto en el artículo 6 de la Ley Orgánica 15/1999, será necesario establecer un procedimiento interno dentro del Grupo que garantice que ejercido cualquiera de los derechos previstos en la Ley Orgánica o revocado por el interesado su consentimiento al tratamiento de los datos con fines comerciales, la entidad ante la que se ejerciten los derechos de rectificación y cancelación o se revoque el consentimiento previamente prestado lo pueda comunicar de modo inmediato a las restantes empresas del Grupo que pudieran estar tratando los datos del afectado para que se proceda por todas ellas de forma inmediata a la cancelación de los datos”.
1.2. Excepciones al consentimiento
El artículo 11 de la LOPD en su apartado segundo recoge los supuestos en que el consentimiento para la cesión de datos, no resulta aplicable. De las excepciones previstas, veamos las que pueden ser eventualmente aplicables al tratamiento de datos con fines publicitarios:
La excepción más claramente aplicable al tratamiento de datos con fines publicitarios, es cuando los datos cedidos provienen de fuentes accesibles al público: en relación a esta excepción cabe aquí dar por reproducido en el Capítulo 4 sobre el concepto limitado de fuente accesible al público tanto en relación a los medios que tienen esta consideración, como a los datos que dentro de estos medios, tienen la característica de fuente accesible al público. Únicamente en estos casos, la comunicación de datos personales obtenidos de dichas fuentes no requerirá el consentimiento del afectado. La comunicación de cualquier dato adicional de los que figuran en la fuente accesible al público, requerirá el consentimiento del afectado, así como la comunicación de datos de fuentes accesibles al público con finalidades y usos distintos a los que motivaron su inclusión en dichas fuentes. En este último sentido la Audiencia Nacional, en sentencia de 26 de enero de 2005, ratificó la sanción a una empresa que a partir de los listados telefónicos, creó un CD donde basándose en el número de teléfono, se podía obtener la información personal de su titular; el órgano jurisdiccional consideró que este sistema (búsqueda inversa), era incompatible con la finalidad que motivó la creación del listado telefónico y que por tanto la obtención de los datos de contacto a través del teléfono a los usuarios del CD, requería el consentimiento de cada afectado, no siendo aplicable la excepción de que los datos provenían de fuentes accesibles al público.
Más difícilmente aplicable resulta la excepción a la necesidad del consentimiento, incluida en el artículo 11.2.c) de la LOPD, en que se establece la no necesidad del consentimiento cuando la cesión de datos “(…) responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.” Para la aplicación de este requisito sería necesario que en el marco de una relación contractual del interesado titular del dato y un responsable del fichero o tratamiento, dicho dato saliera del marco de esta relación, con el fin de desarrollar, cumplimentar o controlar dicha relación.
En el ámbito del tratamiento de datos con fines promocionales para la aplicación de esta excepción sería necesario que para desarrollar una relación jurídica entre el afectado y el responsable de un fichero, este se viera obligado a ceder los datos a un tercero que sería quien promocionaría sus productos o servicios. Supuestos parecidos al aquí expuesto se dan en el caso de empresas que son distribuidoras de productos, especialmente informáticos titularidad de otra empresa. La relación jurídica, en este caso, sería entre el usuario de la herramienta informática y quien la distribuye y esto podría implicar, según el tipo de servicio, que la empresa distribuidora se viera obligada a ceder los datos de sus clientes a quien tiene la titularidad del producto informático, para que sus usuarios puedan gozar de garantías, actualizaciones, mejoras, etc…este es un caso bastante habitual en el tráfico mercantil, pero cuesta más de justificar que la empresa que reciba los datos, pueda hacer un uso de los mismos con fines comerciales, sin contar con el consentimiento de los titulares, basándose en la excepción del artículo 11.2.c). Como decimos pues, esta es una excepción más difícilmente aplicable cuando nos referimos a usos comerciales de datos de todas formas, como siempre, es conveniente analizar cada supuesto caso por caso.
1.3 Obligaciones del cesionario
Como hemos señalado más arriba, el cesionario de una comunicación de datos pasa a responder como un responsable del tratamiento autónomo e independiente de quien cede los datos, siéndole de aplicación lo dispuesto en la normativa de protección de datos a estos sujetos (ver Unidades Didácticas 2 y 3).
Además y en relación a la obligación y al deber de información, debemos recordar que el cesionario de los datos, que por tanto no los ha obtenido de su titular, deberá informarle, de forma expresa, precisa e inequívoca, en el plazo máximo de tres meses desde el registro de la información personal de:
Contenido del tratamiento.
La procedencia de los datos (identificación del cedente).
De la existencia del fichero.
De la posibilidad de que el interesado ejerza sus derechos.
De la identidad del responsable del tratamiento (cesionario).
Esta obligación no será aplicable, como vimos en el Capítulo 3, en el caso que los datos procedan de fuentes accesibles al público y sean utilizados con fines de publicidad o de prospección comercial, siempre que en cada comunicación al afectado se le informe del origen de los datos (identificar la fuente accesible al público), de la identidad del responsable del tratamiento (cesionario) y de los derechos que asisten al interesado.
Adicionalmente a este deber de información al interesado, es necesario señalar que en el caso de una cesión no autorizada de datos, el régimen sancionador no solamente prevé una sanción muy grave para el cedente de los datos, sino también una sanción grave para el cesionario en tanto que está tratando datos sin observar los principios de la normativa de protección de datos. Así es un criterio habitual de la Audiencia Nacional, que el cesionario que recibe datos del cedente, le es aplicable un deber de diligencia razonable en el mercado de tráfico de datos, verificando en forma diligente que el consentimiento para la cesión de datos ha sido obtenido. Como ya hemos visto (Capítulo 4), para demostrar esta diligencia no basta con la firma de un contrato entre cedente y cesionario donde el primero asume esta responsabilidad y eximiendo al cesionario de la misma, sino que es necesario que este tome una actitud proactiva en la verificación de que se ha obtenido el consentimiento en la forma prevista en la normativa.
1.3. Un caso específico: artículo 47 RLOPD: la depuración de datos
El artículo 47 del RLOPD, encuadrado dentro del Título IV Capítulo II (Tratamientos para actividades de publicidad y prospección comercial), recoge un supuesto específico de cesión o comunicación de datos en el ámbito publicitario: la depuración de datos. Este es un supuesto donde la línea con el tratamiento de datos por cuenta de terceros (que veremos en el punto 6.2) se difumina, siendo necesario redoblar la cautela en el caso de encontrarnos en un caso como el definido en este artículo. El artículo 47 establece “Cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos.”
Este supuesto por tanto, prevé la situación en que dos o más responsables de ficheros (empresas, por ejemplo), deciden contrastar sus bases de datos de clientes a efectos de conocer cuáles de ellos son clientes comunes de las empresas participantes en el cruce de información y cuáles no. Una vez realizado este cruce, los responsables de ficheros conocen datos de eventuales clientes potenciales (los clientes que no figuran en su base de datos), a los que se les acaba enviando una comunicación comercial, por cualquier medio. Este procedimiento ofrece una doble ventaja para las empresas que obtienen datos de clientes potenciales, la primera es evidentemente la obtención del dato, pero además este dato no está desnudo puesto que al conocer que su nuevo cliente potencial es también cliente actual de otra empresa, es más fácil realizar un perfil del mismo y ajustarle el mensaje publicitario. Para complicar esta relación con múltiples actores, lo habitual es que el envío del mensaje publicitario a cada nuevo cliente potencial, lo acostumbre realizando una tercera empresa, en función de un contrato de prestación de servicios.
Pues bien, esta situación a tenor del nuevo RLOPD es perfectamente posible siempre que se respeten las normas ya estudiadas, de la comunicación de datos personales; se exigirá por tanto, que los clientes los datos de los cuales, vayan a ser conocidos por terceros, en base al cruce de información, manifiesten su consentimiento en la forma vista en este Capítulo. A efectos de conocer si los intervinientes en esta compleja relación jurídica son responsables del fichero o el tratamiento, no es necesario que estos accedan directamente a los datos, en tanto que deciden sobre finalidad, contenido y uso del tratamiento (siendo así, responsables del tratamiento); así mismo, a efectos de dilucidar si los actores en este tráfico de datos, lo hacen como responsables o encargados del tratamiento (figura que veremos en el apartado 6.2), también disponemos del artículo 20.1 del RLOPD donde se especifica que el criterio que diferencia ambos supuestos es el de si se establece un nuevo vínculo entre quien accede a los datos y el afectado.
Este supuesto, en conclusión, es necesario tenerlo en cuenta debido a su complejidad y ya que, como se verá a continuación, existen elementos que pueden llevar a confundir una cesión de datos con un tratamiento por cuenta de terceros, supuestos con consecuencias jurídicas muy diferentes.
1.4. Infracciones y sanciones
Dos infracciones de las previstas en el artículo 44 de la LOPD son las que se ajustan a los casos de cesiones de datos que no respeten las normas establecidas en el artículo 11:
Infracción muy grave (de 300.000 a 600.000 €): La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas (artículo 44.4.b)). Estos es, por ejemplo, la cesión de datos sin contar con el consentimiento de su titular, a menos que no sea aplicable alguna de las excepciones del artículo 11.
Infracción grave (de 60.000 a 300.000 €): Tratar o usar datos vulnerar los principios y garantías establecidas en la ley (artículo 44.3.d). Este supuesto encajaría para el caso de los cesionarios de datos que pasan a tratarlos sin observar los deberes de diligencia analizados en este Capítulo.
2 Tratamiento de datos por cuenta de terceros
El artículo 12 de la LOPD recoge la importante figura del tratamiento de datos por cuenta de terceros. La relevancia de esta figura provocó que el nuevo RLOPD incluyera en su articulado lo que ha venido conociéndose como el “Estatuto del Encargado del Tratamiento” en sus artículos 20 a 22.
La figura del tratamiento de datos por cuenta de terceros se prevé como una excepción expresa a la comunicación o cesión de datos, en palabras del importante artículo 12.1 de la LOPD “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”. La importancia de esta figura reside en un primer lugar, en un plano práctico por qué cada vez son más los supuestos de outsourcing o prestaciones de servicios que exigen el tratamiento de datos personales; pero además la relevancia de este supuesto tiene unas consecuencias jurídicas muy importantes, puesto que en el caso de cumplirse los requisitos que a continuación veremos, no serían de aplicación las rígidas normas de la cesión de datos, no resultando por tanto aplicable, el requisito general del consentimiento de los afectados para que un tercero acceda a sus datos. Es por ello que es batalla habitual de los responsables de cesiones no autorizadas de datos argumentar ante la AEPD, que esa situación concreta respondía a un tratamiento de datos por cuenta de terceros y no a una cesión de datos, para ahorrarse así, el complicado requisito de contar con el consentimiento de todas y cada una de las personas los datos de los cuales habían sido facilitados a un tercero. Pues bien, en el caso de cumplirse los requisitos que ahora veremos, no estaremos jurídicamente ante una cesión de datos y las figuras o sujetos intervinientes se convertirán en: responsable del fichero o tratamiento (quien facilita los datos y a nombre de quien se tratan) y en encargado del tratamiento (quien accede o trata datos por cuenta de un tercero).
Requisitos:
La relación entre el responsable y el encargado del tratamiento debe basarse en una prestación de un servicio. Esto significa que, como vimos anteriormente, el encargado del tratamiento no puede utilizar los datos que obtiene en función de esta prestación de un servicio para establecer un vínculo nuevo con el titular del dato (artículo 20.1 RLOPD). En otras palabras, esta comunicación de datos a un tercero (encargado del tratamiento), debe tener el objetivo exclusivo de que el responsable del fichero o tratamiento, sea ayudado por dicho tercero en el cumplimiento de la finalidad principal que justificó la recopilación de datos del afectado. Este a nuestro entender, es el requisito básico y de fondo y es que la relación entre ambas partes debe basarse en una auténtica prestación de un servicio, debe tratarse de una situación en que el responsable del fichero o tratamiento, por motivos funcionales, decide que una parte del tratamiento de datos que le ha autorizado el titular de los mismos, sea realizada por un tercero que interviene en el negocio jurídico, por motivos de su especificidad profesional.
La relación entre el responsable del fichero o tratamiento y el encargado del tratamiento, debe estar estipulada en un contrato por escrito o en alguna otra forma que permita acreditar su celebración y contenido. La ausencia de este contrato en esta forma, tiene una consecuencia muy clara: nos encontraremos ante una cesión de datos, que requerirá el cumplimiento de los requisitos aplicables a esta figura jurídica. Es por tanto básico, que exista este contrato, no siendo válida otro tipo de documentación, ni siquiera aquella que acredite la relación entre las partes, como facturas, recibos, presupuestos, etc…
El contrato que establece la relación entre el responsable del fichero o tratamiento y el encargado del tratamiento deberá:
Establecer expresamente que el encargado del tratamiento únicamente accederá a los datos conforme las instrucciones del responsable del fichero o del tratamiento.
Incluir que si el encargado del tratamiento destina los datos a otra finalidad, los comunica o utiliza incumplimiento el mandato contractual, será considerado, a todos los efectos, como responsable del tratamiento, siéndole plenamente aplicable el régimen sancionador previsto para este sujeto.
Enumerar las medidas de seguridad concretas que el encargado del tratamiento, implementará durante la prestación del servicio. Esto implica que el encargado del tratamiento deberá disponer de un documento de seguridad adecuado al tipo de datos a los que va a acceder en función del encargo.
Prever que una vez concluida la prestación del servicio, el encargado del tratamiento deberá devolver los datos al responsable del fichero o tratamiento o tomar las medidas necesarias para su efectiva destrucción.
Como hemos visto el incumplimiento de las obligaciones contractuales por parte del encargado del tratamiento, tiene consecuencias para este. A su vez, y centrándonos en quien encarga el tratamiento de datos, el RLOPD, en su artículo 20.2, establece una importante novedad y es que según este precepto, las obligaciones del responsable del fichero o tratamiento, no terminan con la firma del contrato puesto que éste “(…) deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”. Es complicado establecer con exactitud qué implica para quien encarga el tratamiento de datos a un tercero, esta obligación reglamentaria; en cualquier caso parece que, en la linea de otros supuestos en que más de una entidad interviene en el tratamiento de datos, las obligaciones no se terminan en el mero acto formal de firmar un contrato, sino que se exige una actitud proactiva y diligente (en este caso de quien encarga el tratamiento), para controlar las condiciones en que un tercero accede o trata datos, de su responsabilidad. A estos efectos se considera una buena práctica que en el contrato de tratamiento de datos por cuenta de terceros se establezca una obligación para el encargado del tratamiento, de colaboran en las funciones de control del responsable, para el tratamiento de datos encomendado.
La figura del acceso o tratamiento de datos por cuenta de terceros encaja, sin duda, dentro del complejo mundo del tratamiento de datos con fines publicitarios. Ya vimos en el Capítulo 4 que existen empresas publicitarias que tratan datos por cuenta de los beneficiarios de tal publicidad, así como los criterios para definir quién debe ser considerada, en estos supuestos, responsable del tratamiento. A pesar de este caso específicamente recogido en el RLOPD, la figura del tratamiento de datos por cuenta de terceros debe servir para analizar futuras relaciones jurídicas que, con toda seguridad seguirán dándose en el mundo del tratamiento de datos y la publicidad.
Subcontratación del tratamiento
Un ejemplo de la constante evolución del mercado del tratamiento de datos en cualquier sector, también en el de la publicidad, es el que se recoge en el artículo 21 del RLOPD donde se plasman reglamentariamente las recientes opiniones de la AEPD, en el sentido de autorizar, con las condiciones que ahora veremos, que el encargado de un tratamiento de datos, subcontrate a un tercero, la prestación de ciertos de los servicios encomendados por el responsable del fichero o el tratamiento, en el contrato firmado entre estos dos. Veamos las condiciones:
La condición común a los casos que ahora veremos, es que la subcontratación debe hacer referencia a parte de los servicios encomendados por el responsable, en ningún caso a la totalidad de los mismos, lo que supondría a la práctica, una auténtica cesión del contrato firmado entre el responsable y el encargado. En este supuesto lo que se regula es que responsable y encargado firman un contrato en que se encomienda a este que realice unos tratamientos de datos determinados y a su vez y con las condiciones que ahora veremos, se faculta a que ciertos de dichos tratamientos (no todos), se realicen por otro tercero subcontratado.
Los dos supuestos establecidos en el artículo 21 son:
Subcontratación en nombre del responsable: en este primer caso el responsable del fichero o tratamiento autoriza previa y expresamente al encargado para que, en nombre y por cuenta del responsable, subcontrate ciertos de los servicios a un tercero. A estos efectos sería necesario un apoderamiento a tal efecto al encargado del tratamiento.
Subcontratación de servicios sin necesidad de autorización previa: en este supuesto el encargado del tratamiento establecería una relación jurídica autónoma con el tercero, en nombre y por cuenta propia; para que esto sea así será necesario:
Que en el contrato entre el responsable y el encargado del tratamiento, deberán especificarse los servicios concretos que podrán ser objeto de subcontratación y, si ello fuera posible, el nombre de la entidad que llevará a cabo dichos servicios. En el caso que no se proceda a dicha identificación, el encargado del tratamiento deberá comunicar al responsable, en todo caso, los datos que identifiquen dicha entidad, con anterioridad a la efectiva subcontratación del servicio.
Que el tratamiento de datos por parte del subcontratista se ajuste a las instrucciones del responsable del fichero o tratamiento.
Que el encargado del tratamiento y el subcontratista firmen un contrato con las características establecidas en el artículo 12.2 de la LOPD. Esto exigirá que en estos casos existan dos contratos: un primer contrato entre el responsable y el encargado del tratamiento, donde se incluyan los extremos definidos anteriormente, además de la posibilidad de la subcontratación del servicio; y un segundo contrato entre el encargado del tratamiento y el subcontratista.
La ausencia de cualquiera de los requisitos aquí establecidos, implicaría que lo que se está produciendo en realidad es una cesión de datos entre el encargado del tratamiento y el subcontratista, circunstancia expresamente prohibida por el artículo 12 LOPD. Es por ello muy importante, que en el caso de encontrarnos en una situación como la prevista, se cumplan todos los requisitos con el objetivo de evitar problemas a las partes intervinientes en la relación jurídica de tratamiento de datos.
3 Transferencias internacionales de datos
Abordamos por último, una situación que ha ido ganando trascendencia con el constante proceso de globalización de los procedimientos de tratamiento de datos: las transferencias internacionales. Este supuesto implica que una entidad, responsable del fichero o tratamiento, establecida en España (exportador) entrega, o facilita el acceso a, datos a un tercero establecido fuera del territorio nacional (importador). Esta estructura es aplicable tanto en el caso que, según lo visto en este Capítulo, nos encontremos ante una cesión de datos, como ante un tratamiento de datos por cuenta de terceros, por lo tanto los requisitos adicionales que ahora señalaremos para esta exportación de datos, se entienden, sin perjuicio, de las condiciones, ya analizadas, para proceder a la cesión o tratamiento de datos por cuenta de terceros.
El criterio básico para encontrar la solución a las transferencias internacionales de datos, es conocer si la entidad que va a tratar o a acceder a estos datos, está establecido o no, en un Estado que ofrezca un nivel de protección adecuado o equivalente al implantado en España a través de la LOPD y su normativa de desarrollo.
Países con un nivel de protección adecuado
Actualmente gozan de este estatus, como no podía ser de otra forma, todos los Estados miembros de la Unión Europea (no debemos olvidar que todas las normativas de protección de datos de dichos Estados, tienen su fundamento en la misma Directiva comunitaria). Además de los Estados miembros, disfrutan también de un nivel de protección adecuado, los países, no miembros de la EU pero que abarcan el Espacio Económico Europeo: Islandia, Liechtenstein y Noruega. Por último, la Comisión Europea, a través de un procedimiento específico previsto en la Directiva de Protección de Datos (artículo 25), ha declarado que también disponen de un nivel de protección equivalente al que existe dentro de la UE los siguientes países: Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (Safe Harbor). Por su importancia, comentar que en el caso de Estados Unidos, el Departamento de Comercio de EUA y la Comisión Europea negociaron, entre el 1999 y 2000, unos principios y estándares mínimos de protección de datos a los efectos que pudiera considerarse que disponían de un nivel de protección de datos equivalente al europeo, las de que las entidades estadounidenses que se adhirieran a los mismos. Actualmente la lista de entidades adheridas puede consultarse online (http://www.export.gov/safeharbor/).
Pues bien, todas las entidades establecidas en alguno de estos países, gozan de un nivel de protección de datos equivalente al establecido en España, por lo que cualquier transferencia a estos países, podrá realizarse sin ninguna limitación adicional a las previstas para el caso que nos encontremos ante una cesión de datos o un tratamiento por cuenta de terceros.
Países sin un nivel adecuado de protección
En el caso que un responsable de un fichero o un tratamiento establecido en España, pretenda transferir datos a una entidad establecida en un país no incluido en el anterior apartado por no ofrecer un nivel de protección adecuado, deberá recabarse la autorización del Director de la AEPD para esa transferencia internacional concreta. El artículo 70 del RLOPD establece los requisitos de la documentación que deberá aportarse para solicitar la autorización del Director, destacando la necesidad de un contrato escrito entre exportador e importador (las cláusulas tipo de dichos contratos pueden encontrarse en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE, de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004.
A efectos de responder a la realidad de algunos grupos multinacionales, el RLOPD, en su artículo 70.4, reconoce, como fuente para obtener la autorización del Director de la AEPD, las normas corporativas vinculantes: estándares de protección y seguridad de datos vinculantes, establecidos entre distintas empresas de un mismo grupo, situadas en distintos países. Estas cláusulas también pueden ser analizadas por el Director de la AEPD, para solicitar la autorización para la transferencia de datos en el marco de dichas empresas multinacionales.
Los artículos 137 a 140 del RLOPD, por último, establecen el procedimiento concreto para solicitar la autorización, que será inscrita ante el Registro General de Protección de Datos y que una vez obtenida, legitimará la transferencia internacional de datos concreta.
Excepción a la autorización del Director de la AEPD
El artículo 34.e) de la LOPD recoge una excepción a la autorización del Director de la AEPD para la transferencia internacional de datos, de vital importancia práctica: el consentimiento inequívoco del afectado. En el caso de contar con dicho consentimiento, la transferencia del dato puede realizarse sin mayores limitaciones a las establecidas a una comunicación de datos dentro de España. Al tratarse de una comunicación de datos, como no podría ser de otra forma, las características de dicho consentimiento son las aplicables a cualquier cesión de datos: consentimiento inequívoco y previo a la cesión del dato.
Víctor Roselló Mallol.
Abogado. Especialista en Protección de Datos.
