Autónomo ¿personal autorizado o encargado del tratamiento?

Autónomo ¿personal autorizado o encargado del tratamiento?

Al ser un autónomo una persona física, ¿la relación con el responsable del tratamiento podría considerarse como personal autorizado o como encargado del tratamiento?

El GDPR obliga al responsable del tratamiento (RT) a establecer acuerdos de confidencialidad con todas las personas físicas, sean empleados o no, que realizan tratamientos de datos personales bajo su responsabilidad.

Para ello, el RT puede suscribir con el autónomo acuerdos de confidencialidad de dos formas:

  • Directamente, como persona autorizada para tratar datos (art. 29 GDPR).
  • Indirectamente, como encargado del tratamiento (ET) (art. 28 GDPR).

En el primer caso existirá un compromiso directo con la persona, la cual deberá realizar el tratamiento siguiendo las instrucciones del RT que le serán detalladas en el acuerdo de confidencialidad y en las políticas de protección de datos establecidas por la organización. Una «persona autorizada» puede ser un empleado, socio, voluntario, etc., incluso un autónomo, si este no delega el tratamiento a otras personas que estén a su cargo (sus empleados).

En el segundo caso, el RT garantizará el compromiso de confidencialidad con el autónomo mediante un contrato de prestación de servicios como ET, donde también se detalle que deberá realizar el tratamiento siguiendo las instrucciones del RT, las cuales incluirán que el «personal autorizado» se haya comprometido a respetar la confidencialidad. De esta manera el autónomo podrá delegar el tratamiento a los empleados que estén a su cargo.

Con estas dos posibilidades, el RT puede elegir el tipo de relación que va a establecer con un autónomo, siendo las dos opciones válidas para autorizar el tratamiento.

Visto lo anterior, podemos decir que las personas que actúan bajo la autoridad directa del RT pueden considerarse «personas autorizadas para tratar datos» y con un acuerdo de confidencialidad sería suficiente para garantizar la protección de datos. A tener en cuenta que solo podrían categorizarse como «personas autorizadas» si realizan el tratamiento exclusivamente en las instalaciones y con los medios del RT, ya que estas personas serían como empleados, con la única diferencia de que no existirá un contrato laboral, como, por ejemplo, sucede con los miembros de la junta directiva de un club social, AMPA, etc.

Por lo que los profesionales externos (autónomos) podrán considerarse como personal si cumplen con todos los siguientes requisitos:

  • No tienen empleados a su cargo, o sea son los únicos que tratarán los datos.
  • Realizan el tratamiento exclusivamente en las instalaciones del RT, o sea no se llevarán datos ni los tratarán fuera de las instalaciones del RT.
  • Utilizan exclusivamente los medios del RT, o sea el RT tiene el control de los sistemas de información puestos a su disposición.
  • Siguen las instrucciones recibidas por el RT y desarrollan su actividad bajo las políticas y/o protocolos de protección de datos del RT.

Si no cumplen alguno de los requisitos anteriores, los autónomos deberán considerarse encargados del tratamiento (ET).

Y cuando un encargado de tratamiento (ET) subcontrata un autónomo

Este es el caso donde puede tener más relevancia la elección del tipo de acuerdo. Al ser una subcontratación, el ET debería obtener la autorización del RT para subcontratar el servicio. Esta autorización se puede efectuar de dos formas:

  • Con una autorización expresa del RT para la subcontratación del servicio. Esta opción sería la elegida cuando el autónomo tenga empleados a su cargo. El ET deberá suscribir un contrato de subencargado (SubET) con el autónomo.
  • Con un acuerdo de confidencialidad de «personal autorizado» entre el ET y el autónomo. Esta opción sería la más deseable cuando el autónomo no tiene empleados a su cargo, ya que no precisará de la autorización expresa del RT para subcontratar el servicio y no será necesario informarle de este hecho.

Y cuando un empleado realiza el tratamiento mediante teletrabajo

Cuando un empleado trabaja desde su casa, el RT debe poner a su disposición suficientes medidas de seguridad para la proteger los datos que va a tratar. O sea, deberá facilitarle los recursos adecuados para que esta protección sea efectiva, por ejemplo:

  • Conectarse remotamente al servidor/ordenador del trabajo (con las medidas de seguridad del RT)
  • Trabajar directamente con un dispositivo de almacenamiento (USB) facilitado por el RT que contenga medidas de seguridad adecuadas al riesgo.
  • Trabajar con un portátil facilitado por el RT (con las medidas de seguridad de del RT) .

Si no es el caso, por ejemplo, que utiliza su ordenador personal, el RT debería prohibir este tratamiento, ya que no puede controlar las medidas de seguridad (generalmente muy inferiores a las del RT).

Si, aun así, el RT precisa que se realice este tratamiento, el empleado actuaría como un ET, y el RT debería formalizar un contrato con el empleado como ET con las instrucciones previstas en el art. 28 GDPR.

Normativa aplicable (argumentación)

El GDPR define el ET en el art. 4.8 como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento«.

Aplicando al pie de la letra esta definición, cualquier empleado (persona física) podría considerarse un ET, pero si leemos detenidamente el art. 28 GDPR, vemos que el ET debe cumplir las instrucciones recibidas por el RT, y estas siempre hacen referencia a las medidas de seguridad que debe aplicar el ET para proteger los datos. Esto sucede porque el RT no tiene control sobre el ET ya que, generalmente, este último realiza el tratamiento en sus instalaciones y con sus medidas de seguridad, ajenas a las del RT.

El único artículo del GDPR que se refiere al personal que accede a datos personales es el 29 y dice que «el encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros«. Como se puede comprobar, no se refiere a empleados sino a cualquier persona.

También, en el art. 5 LOPDGDD relativo al deber de confidencialidad, se dispone que «los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679»

Art. 5.1.f) GDPR: Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).