¿Qué criterios aplica la AEPD para delimitar los roles de responsable y encargado del tratamiento en ecosistemas logísticos y tecnológicos complejos?
Autores
Las resoluciones mencionadas se refieren a dos empresas del sector de la logística y el transporte e incluyen los elementos que se deben tener en cuenta cuando se evalúa jurídicamente si una organización es responsable o encargado del tratamiento.
Los criterios jurídicos de la AEPD son, en la práctica, un resumen de las resoluciones dictadas por ésta y no constituyen la publicación de un documento oficial, siendo necesario remitirse a las resoluciones, que son las que tienen carácter oficial, completo y vinculante.
En los criterios jurídicos que ha publicado la AEPD se lleva a cabo un análisis sobre cómo debe abordarse la delimitación de los roles de responsable y encargado del tratamiento en ecosistemas tecnológicos y logísticos complejos. Aunque las resoluciones sobre las que se basa la AEPD se refieren a dos casos de empresas de logística y transporte (también denominadas como “mensajería”), los criterios jurídicos pueden aplicarse a otras organizaciones, tales como “plataformas digitales, infraestructuras cloud, marketplaces, ecosistemas de inteligencia artificial o servicios tecnológicos integrados”.
El punto de partida es la cuestión relativa a que la condición de responsable o encargado del tratamiento “no depende necesariamente de lo que indiquen las partes en el contrato, ni puede deducirse de la mera autonomía empresarial de los operadores implicados”. Que una organización sea responsable o encargado del tratamiento en casos complejos, que superan los clásico y fácilmente identificables supuestos de outsourcing o una simple cesión de datos entre responsables independientes del tratamiento.
El análisis de qué rol tiene una organización cuando trata datos personales, ya sea responsable, corresponsable o encargado del tratamiento, tiene que hacerse atendiendo a la “realidad material del tratamiento” y las “circunstancias del caso concreto (análisis caso a caso”). Sobre el rol que pueda tener una organización en el tratamiento de datos, la AEPD destaca también que “puede actuar inicialmente como encargada respecto de una operación concreta y convertirse posteriormente en responsable del tratamiento cuando reutiliza los datos para fines propios no amparados por las instrucciones recibidas”. Este hecho es, según la AEPD, la manifestación de una concepción dinámica y no estática de los roles de responsable y encargado del tratamiento.
Los elementos operativos reales a los que atiende la AEPD para calificar el rol en protección de datos de una organización del sector de la logística y el transporte son las respuestas a, entre otras, las siguientes cuestiones: quién decide sobre el tratamiento de los datos personales, quién define la finalidad principal de entrega, quién remunera el servicio, quién establece instrucciones relativas al tratamiento de datos personales, etc. Ni la complejidad tecnología del sistema ni una delimitación del rol hecha de manera abstracta o permanente en relación con los tratamientos pueden alterar la calificación jurídica de una organización como responsable o encargado del tratamiento. Es necesario analizar “finalidad por finalidad y, dentro de cada una de ellas, operación por operación”.
A pesar de que en las resoluciones sancionadoras mencionadas la AEPD aprecia una calificación errónea del rol de las entidades y de su relación en materia de protección de datos, señalando que podrían haber utilizado los informes del Gabinete Jurídico de la AEPD que habían sido publicados con anterioridad (tanto el informe 0331/2017, a pesar de ser anterior a la fecha de aplicación del RGPD, como el 0064/2020), también valora el hecho de que hayan actuado de manera proactiva adoptando medidas para cumplir con la normativa sobre protección de datos y no de manera que su actuación, o falta de la misma, diera lugar a la “inexistencia absoluta de una arquitectura de cumplimiento”.
La calificación como responsable o encargado del tratamiento, ya sea en el caso de empresas del sector de la logística o el transporte, o en cualquier otro sector en los que se plantea un grado elevado de complejidad, no puede hacerse ni es automática. Esta calificación requiere de un análisis exhaustivo y pormenorizado que, en aplicación del principio de responsabilidad proactiva (“accountability”), debería documentarse, con la finalidad de poder demostrar qué elementos se tuvieron en cuenta y cómo se aplicaron los criterios jurídicos que ha enunciado ahora la AEPD. Y en este análisis con clave cuestiones como quién determina los fines y los medios del tratamiento, si hay un tratamiento “por cuenta de” otro siguiendo sus instrucciones, así como tener en cuenta que el análisis puede requerir de actualizaciones si, a lo largo del tiempo y del del tratamiento o de los tratamientos, se producen cambios tanto en los fines como en las operaciones de tratamiento.