Destinatario de Datos. Diferencias con los Encargados del Tratamiento

Tiempo de lectura: 4 minutos

En esta entrada hemos querido centrarnos en la figura del Destinatario de datos.

Ya hemos visto anteriormente conceptos sobre protección de datos. Responsables y Encargados del tratamiento (ET).

Pero ¿Sabéis que es un destinatario de datos?

Recordemos que el ET es aquella entidad que trata datos personales por cuenta del responsable del tratamiento (RT).

destinatario de datos

Destinatario de Datos

Empecemos:

Destinatarios de datos: como aquella entidad a la que un RT o un ET les cedan o comuniquen datos personales.

Estaremos ante un encargo del tratamiento cuando la entidad que nos presta el servicio está tratando los datos personales por nuestra cuenta y siguiendo únicamente nuestras instrucciones.

En cambio, estaremos ante una cesión de datos cuando la entidad que nos presta el servicio está tratando los datos personales por su cuenta, o sea sin seguir nuestras instrucciones.

Para determinar si un prestador de servicios interviene como encargado del tratamiento (ET) o destinatario de datos (RT) podríamos realizarnos diversas preguntas, por ejemplo:

  • ¿Nosotros determinamos los fines y los medios del tratamiento, o los determina el prestador de servicios?
  • ¿El prestador de servicios está obligado a seguir únicamente nuestras las instrucciones?
  • ¿Podemos obligarlos a suprimir los datos o a que nos los devuelvan y que no se queden ninguna copia?

¿Y qué tengo que hacer?

Al ceder los datos (ET emisor)

La comunicación de datos personales es un tratamiento de datos más. Por ello, deberemos determinar bien la base de legitimación en la que nos encontramos. Ya que no necesariamente tiene que ser el consentimiento, también puede ser por obligación legal, ejecución de contrato, interés vital, público o legítimo.

Previamente a la cesión de datos, además de contar con una base jurídica adecuada, también se deberá informar al interesado de las categorías de destinatarios a quien se prevé comunicar sus datos.

Destinatario de datos o receptor

El destinatario de datos (ET receptor) estará obligado, a informar del tratamiento al interesado (datos no obtenidos del interesado) y a comunicarle dicha información:

  • en un plazo máximo de 1 mes; o
  • en el momento de la primera comunicación con el interesado; o
  • en el momento en que se revelen los datos a otro destinatario.
No será obligatorio realizar esta comunicación cuando:
  • el interesado ya disponga de la información; o
  • cuando la comunicación sea imposible o suponga un esfuerzo desproporcionado (en este caso se podría publicar en la página web corporativa); o
  • cuando la obtención o la comunicación esté expresamente establecida por la legislación vigente; o
  • cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por la legislación vigente, incluida una obligación de secreto de naturaleza legal.

Contrato o acuerdo de tratamiento de datos

Aunque el GDPR no regula la necesidad de suscribir un contrato de cesión de datos entre el RT emisor y el RT receptor de datos. Sí que es recomendable establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión. Sobre todo para el RT receptor porque debe poder demostrar que ha obtenido los datos lícitamente, ya que no se los ha facilitado directamente el interesado.

Dicho acuerdo debería contemplar:

  • que el RT emisor garantiza que los datos cedidos se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.
  • El RT receptor solo tratará los datos para el fin de la cesión y que no los destinará a otros fines.
  • que el RT receptor se comprometerá a ejecutar las solicitudes relativas a los derechos de rectificación y supresión de datos y de limitación al tratamiento que le comunique el RT emisor.

Casos específicos de cesión de datos

  • VIGILANCIA DE LA SALUD: el acceso a la información relativa a la salud de la persona trabajadora se limita al personal médico y a las autoridades sanitarias que les prestan el servicio de vigilancia de la salud. Sin que pueda facilitarse al empresario/a o a otras personas ninguna información en este sentido, sin el consentimiento expreso del interesado.
  • MUTUA DE ACCIDENTES DE ACCIDENTES DE TRABAJO Y EEPP: intervendrán en calidad de RT cuando las empresas y las personas trabajadoras por cuenta propia contratan con ellas las contingencias profesionales, la prestación económica por incapacidad temporal derivada de contingencias comunes y la protección por cese de actividad. Ya que, el acceso a los datos por parte de las Mutuas es necesario por las funciones que tiene atribuidas legalmente.
  • BANCOS: según criterios de la AEPD, nos hallamos ante una cesión de datos, dado que los datos transmitidos serán incorporados a los ficheros de la entidad financiera, que procederá a su tratamiento para fines que les son propios. 
  • ASEGURADORAS, CRÉDITO Y CAUCIÓN: la entidad aseguradora realiza diversos tratamientos con los datos de los asegurados, decidiendo el uso y finalidad de los mismos. Al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los asegurados, estamos en un supuesto de cesión de datos. 
  • SERVICIO POSTAL, TRANSPORTE O MENSAJERÍA: las obligaciones legales aplicables a las empresas de servicio postal, transporte y mensajería quedan sometidas a normativa específica sujeta a secreto profesional, confidencialidad, protección de datos y deberes de fidelidad en la gestión del envío. De modo que su actividad debe atender y respetar dichos compromisos. Estas obligaciones específicas convierten a estos tipos de empresas en RT porque determinan el modo en que se lleva a cabo el servicio contratado, además de incorporar los datos facilitados en sus propios sistemas para fines propios.

Seguimos con más ejemplos

  • SERVICIOS DE PROCURA: el procurador/a trata los datos personales por su cuenta y con fines propios, esto es la representación del cliente en todo tipo de procesos. Los juzgados dirigen sus resoluciones directamente a los procuradores. Los procuradores prestan sus servicios directamente a sus clientes, no a los abogados.
  • NOTARIA: como en los casos de servicios de procura o abogacía, el/la notario determina los fines y los medios del tratamiento, y en ningún momento seguirá instrucciones del responsable.
  • AUDITORES DE CUENTAS, SOCIEDADES DE AUDITORÍA: la independencia y otras obligaciones legales exigidas a los auditores, tales como la custodia de documentación, (Ley 22/2015 de Auditoría de Cuentas) impide que queden realicen su actividad sometidos a las instrucciones de la entidad auditada.
  • AGENCIAS DE VIAJES, HOTELES, COMPAÑÍAS AÉREAS.
  • SERVICIOS DE TELEFONÍA: las obligaciones legales exigidas a estas entidades, como la conservación de datos, impide que realicen su actividad sometidos a las instrucciones de la entidad que los contrata.
  • SERVICIOS DE INTERNET: las obligaciones legales exigidas a estas entidades, como de conservación de datos, impide que queden realicen su actividad sometidos a las instrucciones de la entidad que los contrata.

En conclusión

Como habréis visto es habitual encontrarnos con destinatario de datos.

Contadme, ¿Sabíais diferenciar un destinatario de datos?

¿Con cuantos os encontrais en vuestra organización?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *