corresponsabilidad

Corresponsabilidad: Ejemplos: Ensayos clínicos. Recursos humanos.

 

En este post, antes de llegar a la corresponsabilidad, desarrollaremos los conceptos de responsable y encargado de tratamiento. Sobre todo el tema de la corresponsabilidad: un tema muy básico que siempre ha estado ahí, pero que se ha puesto bastante interesante con la aplicación del RGPD y alguna sentencia reciente del TJUE.

Al final del post nos centraremos en el régimen de la corresponsabilidad, bastante más desconocido y peor aplicado.

Y como no sólo de teoría vive el hombre, analizaremos tres casos relevantes y recurrentes, con especial detenimiento en los polémicos Ensayos Clínicos y en el control biométrico en el ámbito de recursos humanos.

Hace unas semanas nos lo pasamos pirata debatiendo en Linkedin con el caso práctico de los Oompa-Loompas que desarrollaré al final. Podeis seguir mis miniposts diarios -y chorradas varias- en Linkedin a través del hashtag #JGarciaHerreroDPD.

Como siguen más de 5.500 palabras, les pongo un índice para que vayais directamente a lo que os interesa, que me sé que no tenéis tiempo pa ná-de-ná.

 

 

Indice

1.    Responsable de tratamiento

 

Responsable es la entidad “que decide la finalidad y medios del tratamiento”.

Lo cual no es decir mucho, ¿verdad?.

Las cosas se entienden mejor con preguntas: El Responsable de tratamiento suele ser la respuesta a las siguientes preguntas:

¿Quién ha decidido…

…para qué se van a tratar los datos?

… el perímetro exacto del tratamiento?

…durante cuánto tiempo?

…bajo qué medidas de seguridad?

¿A quién beneficia el tratamiento?

¿Quién lo inició?

¿Por qué demonios se están tratando estos datos?

 

corresponsabilidad

Willy Wonka: el original, el bueno, el masca.

Si, puedes acabar siendo responsable sin -en teoría- comerlo ni beberlo

 

El Grupo de Trabajo del art 29 y el TJUE nos han ampliado información sobre la figura con alguna memorable sentencia. De ellas podemos extraer conclusiones como las siguientes:

Para ser responsable del tratamiento:

  • No hace falta siquiera tener acceso a los datos personales (p. Ej: la Iglesia de los Testigos de Jehová en Finlandia, o FashionId en Alemania, fueron declarados responsables de tratamientos sobre datos a los que no tenían acceso directo, porque los tratamientos se producían en su favor, y también porque recibían estadísticas anónimas extraídas de aquellos datos, en el último caso. Pero volveremos sobre FashionId más adelante.
  • No es necesario determinar conjuntamente la finalidad Y los medios, basta uno solo de los factores.
  • No es necesario decidir en detalle todas las circunstancias de los medios del tratamiento (cosa que se puede perfectamente delegar -y de hecho se delega- en el Encargado de tratamiento), basta con decidir sus elementos esenciales.

El Grupo del artículo 29 aclaró en su Opinion 1/2010 que el Responsable debe determinar los llamados “elementos esenciales de los medios del tratamiento”, pudiendo dejar el resto en manos del encargado del tratamiento contratado a tal efecto.

Como tales elementos esenciales se refirió a los siguientes: el tipo de datos que deben tratarse, el período durante el cual se conservará, quiénes tendrán acceso a los datos o quiénes serán los destinatarios de los datos.

 

2.   El Encargado de tratamiento

 

El problema con la figura del Encargado es que parece que está chupada peeeero:

  • en algunos casos no es tan fácil distinguirla del Responsable, y por otro,
  • la figura tiene aparentes contradicciones.

Por ejemplo, que todos los Encargados son, al mismo tiempo Responsables de algunos datos personales de, valga la redundancia, sus Responsables.

La esencia del Encargado es que trata datos en nombre y por cuenta del Responsable. O de varios Responsables, como veremos.

El Encargado de tratamiento actúa en interés del Responsable y de acuerdo con la finalidad, perímetro e instrucciones determinadas por el Responsable.

Sin embargo, el Encargado no está totalmente supeditado al Responsable: tiene su ámbito de autonomía (y por tanto, lógicamente, de responsabilidad) en la decisión e implementación del cómo lograr los objetivos e instrucciones del Responsable.

Y aquí se da una interesante fauna entre la que podemos distinguir varias castizas figuras:

 

El Encargado cuñao

 

El “Encargao cuñao” que sigue todas las instrucciones del Responsable, pero que cuando le preguntas por sus medidas de seguridad, evaluación de riesgos o similares, no sabe, no contesta. O contesta que sí, que las tiene todas, pero no te dice cuáles son, ni es capaz de acreditarlas.

Y este es el riesgo después del RGPD: ya no se trata tanto de tener firmado el modelito de contrato de encargado de tratamiento. Con el subrayado en la responsabilidad del Responsable en la elección de un Encargado capaz de gestionar con garantías tratos ajenos, el trabajo hay que hacerlo antes de firmar el contratito.

 

El Encargado Titanic

 

El “Encargado Titanic” que, dado su tamaño y prestigio se le supone que hace las cosas bien, que es insumergible, que nada malo puede pasar con ese peasocachoo de hielo que pulula por ahí…. Y por eso él te impone él a ti, Responsable, su contrato de encargo, sus medidas de seguridad, etc… y en definitiva, su tratamiento.

O –AY!- subcontrata lo que le da la gana y -URGK!- con quien le da la gana. Habitualmente con barquitos pequeñitos que, en prestaciones y precio, tienen muy pero muy poco que ver con el transatlántico inicialmente contratado.

Y a ti, pobriño Leo DiCaprio sólo te queda confiar en que todo vaya bien y que la película termine en empujones románticos y no de los otros, de esos que te envían directamente al fondo del mar matarile-rile-rile.

Pero los Encargados tienen algun cosa más, veamos.

 

corresponsabilidad

Otto

Caso práctico 1: (Skinner y Otto): Todos los encargados son Responsables de parte de los datos de sus Responsables.

 

Sé que suena a los Hermanos Marx, y parece una tontada, pero me voy a detener dos minutos en este tema, porque -por alguna razón- la peña se lía.

Todo se vé más claro –espero- con un ejemplo de los Simpson:

Seymour Skinner, director del Colegio de primaria de Springfield contrata a una empresa de transporte urbano, “Otto Mobility Inc”, para que un conductor, erm, cualificado, Otto, conduzca a los niños al colegio todos los días.

Otto Mobility es, obviamente, Encargada del tratamiento de los datos de los alumnos transportados.

Pero a efectos de gestión del servicio y facturación trata los datos de Skinner como contacto del Colegio, y lo hace como Responsable. Y eso no cuestiona en absoluto su condición de Encargado en todo lo demás.

Para la gestión del transporte, Otto Mobility necesita acceder a los datos de los alumnos. Como Encargado. Peeero si tiene algún problema contractual con el Colegio (y Skinner no quiere pagar el servicio, por ejemplo), seguramente tenga interés legítimo en reclamar la cantidad pendiente de pago en los tribunales, aportando como prueba los datos de esos alumnos que efectivamente transportó.

Y ese tratamiento Otto Mobility lo será a título de Responsable, y eso tampoco cuestiona en absoluto su condición de Encargado a los demás efectos.

Simplemente las cosas son como son.

corresponsabilidad

Mucho cuidado, Otto.

 

Desde otro punto de vista, si Otto quiere invitar a los alumnos a uno de sus conciertos infantiles de guitarra eléctrica, no podrá utilizar los datos de alumnos ni los de sus padres o tutores que gestione, porque la finalidad de su tratamiento está tasada por el Colegio Responsable, y limitada a la ejecución del contrato de transporte. Nada más que eso.

Como digo, puede que parezca un tema muy básico, pero me he molestado en hacer un cuadrito resumen porque cada cierto tiempo, me encuentro con la misma confusión.

 

corresponsabilidad

 

Más cosas:

El Encargado que se salta a la torera las instrucciones del Responsable y reutiliza esos datos del Responsable para sus propias finalidades

 

Este Encargado se erige en Responsable (Irresponsable, más bien) de su propio tratamiento. Y de su propio incumplimiento, claro.

Y esto se da cuando (i) el jeta es el Encargado como entidad u organización (Otto Mobility que vende los datos de los alumnos a, no sé, Toys´R´Us), como cuando (ii) lo es el empleado (Otto al invitar a su concierto) que no siguen las instrucciones de su organización, como cuando (iii) los empleados levantiscos lo son de un Responsable (art. 29 RGPD).

 

El Encargado que no sigue estrictamente las instrucciones del Responsable y comunica datos, pero lo hace en cumplimiento de obligaciones legales (art. 28.3.a) y 29 del RGPD).

 

El ejemplo más extremo de esto, y por eso, el más transparente, es la obligación que impone la normativa de prevención de blanqueo de capitales de denunciar al SEPBLANC -autoridad competente- a tu cliente o aspirante a cliente, cuando te propone que le asesores una marranada mercantil o fiscal de las prohibidas por la ley.

Esa obligación te incumbe a ti, abogado, asesor fiscal, notario, por ejemplo, respecto de los datos personales que captas en la fase precontractual (más te vale no cerrar el contrato con ese cliente, chaval). Tu denuncia debe incluir la identidad del proponente y de sus compinches.

Y todo, sin advertirles, por supuesto.

Sin entrar en este momento en si el abogado o asesor fiscal son Responsables o Encargados, que daría para un post de por sí, y asumiendo que sea un Encargado por estar totalmente supeditado a un “cliente único” que funcione como Responsable, lógicamente esta delación implicará una comunicación de datos, no sólo no incluida en las instrucciones del Responsable, sino no informada y evidentemente contraria a sus intereses.

Responsabilidad del Encargado y del Responsable de Tratamiento

 

Desde el RGPD, se ha establecido claramente una responsabilidad solidaria entre Responsable y Encargado frente a terceros, por incumplimientos del propio Encargado de sus obligaciones legales -o contractuales con el Responsable-.

Es decir, si se produce una brecha de seguridad en el entorno del Encargado por falta de implementación por este de las medidas de seguridad apropiadas, el Encargado será solidariamente responsable junto con el Responsable frente a terceros afectados por el incumplimiento.

Como en toda relación de responsabilidad solidaria, ya luego viene la exigencia de responsabilidades entre el que haya apoquinado y el que haya incumplido, pero quédense con esto.

En contra de lo que dice el refrán, en la práctica no se da eso de que “el que jode, paga”: las demandas vuelan siempre rumbo al trasero del implicado en apariencia más solvente (erm, normalmente el del Responsable), y cuando toca depurar quién la lió de verdad, algo que sucede bastante más tarde, éste no paga, simplemente porque no existe, concursó porque ya no tiene o nunca tuvo.

 

corresponsabilidad

3.- Corresponsabilidad

 

Esta figura recogida en el artículo 26 del RGPD regula la situación en la que varias organizaciones determinan conjuntamente -de forma potencial o efectiva- las finalidades y medios de un tratamiento de datos.

Poco utilizada antes de la entrada en vigor del RGPD, esta figura está cobrando mayor popularidad y relevancia al ser identificada y aplicada en distintos pronunciamientos jurisprudenciales recientes a los que haremos referencia, y otros informes oficiales. Pero las dudas y vacilaciones son patentes en la práctica.

 

¿De qué hablamos cuando hablamos de determinación conjunta de finalidades y medios?

 

El primer elemento clave para determinar la existencia de corresponsabilidad es la determinación conjunta entre varias organizaciones de los fines y medios del tratamiento de datos personales.

Es importante matizar que:

  • Esa determinación no tiene por qué ser “efectiva”. Según el EDPS, la mera formalización del acuerdo en el que las partes consensúan la finalidad y elementos esenciales de los medios para llevar a cabo una operación de tratamiento, en sí misma, es suficiente para desencadenar una operación de corresponsabilidad en el tratamiento.

La mera existencia de un nivel general de complementariedad y unidad de propósito entre los responsables justifica la existencia de corresponsabilidad.

Sólo es necesario que cada corresponsable del tratamiento tenga la posibilidad o el derecho de determinar la finalidad y los elementos esenciales de los medios del tratamiento.

  • Para ser corresponsable no es imprescindible tener acceso a los datos personales tratados.

 

  • Tampoco es necesario que todos los corresponsables ejecuten todas las operaciones en que se desglose el tratamiento en cada caso.

En la práctica puede ocurrir –y de hecho es frecuente- que varios corresponsables interactúen en diversas operaciones del tratamiento, sin que los medios y fines de cada una sean los mismos para todos ellos.

Todo esto no me lo saco de la manga: resulta de varios pronunciamientos del Tribunal de Justicia de la UE ya citados: Resolución C‑25/17 Jehovan todistajat y Resolución C-40/17 Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW Ev (Fashion ID).

 

El Caso FashionId

 

Fashion ID es una empresa que vende ropa a través de internet.

Fashion ID, como casi todo hijo de vecino insertaba en su web el botoncito de “me gusta” para permitir que los clientes o potenciales clientes, compartieran en Facebook aquellos artículos que compraban o simplemente les llamaban la atención.

Pero hete aquí que, ¡Oh, chorprecha! El botoncito “me gusta” de Facebook es bastante más puñetero que lo que su pacífica apariencia indica: tiene la capacidad diabólica de identificar a los usuarios de Facebook, aunque no estén en ese momento logueados en la popular red social.

Peor aún, Zucker-berg es capaz de trackearte (perseguirte, vamos) también a ti, que defiendes tu privacidad y que no tienes cuenta en Facebook porque sabes de qué va realmente esa empresa. Facebook también podrá saber de qué web venías y hacia dónde te fuiste, después de visitar la web Fashion ID a través de su artefacto.

EL TJUE vino a decir en su sentencia que:

  • Fashion ID indudablemente se beneficia de la promoción de sus productos que el ínclito botoncito de Facebook puede proporcionar, y
  • Que, al hacerlo, posibilitaba que la nefasta empresa de Zucker-berg trincara datos personales de propios y extraños, que luego devolvía de forma parcial y anonimizada a Fashion ID (estadísticas de visitas).
  • En consecuencia, Fashion ID es corresponsable en la recogida de los datos que facilita a Facebook, y está obligada a suministrar al menos la información legal obligatoria sobre el tratamiento de Facebook (aunque notoriamente no participe en él) y la información mínima sobre la propia relación de corresponsabilidad, del art. 26 RGPD.
  • Y esto le toca hacerlo a Fashion ID porque es la entidad que tiene contacto directo con el interesado.

 

Alcance de la corresponsabilidad frente a terceros

 

Es muy relevante clarificar que, pese al sentido del concepto jurídico “corresponsabilidad” en la tradición española, los Corresponsables responden, no sobre el conjunto de los tratamientos en que consista el proyecto conjunto, sino respecto de las operaciones de tratamiento que efectivamente realiza cada uno.

Por eso el considerando 50 del RGPD destaca que se debe establecer una asignación clara de las responsabilidades de cada uno de los corresponsables en relación con el interesado.

Y los corresponsables que sí hayan concurrido en la concreta actividad de tratamiento que haya causado el daño (como decimos, el que no haya intervenido, no tendrá responsabilidad –art 82.2 Reglamento General de Protección de Datos-), sí tendrán una clara responsabilidad solidaria frente a los interesados afectados.

Por ello, si se quiere evitar (o acortar el iter de reclamaciones de responsabilidad solidaria) se aconseja clarificar desde el minuto uno, entre los propios partícipes y frente a los interesados, la intervención de cada cual en las distintas operaciones de tratamiento.

¿Dónde? En el contrato de corresponsabilidad…

 

¿Cómo demonios se prepara un contrato de corresponsabilidad ?

 

Los corresponsables deben formalizar un contrato específico en el que se establezcan sus funciones y responsabilidades entre sí y, en particular, con respecto a los interesados.

Además, el artículo 26 del RGPD impone la puesta a disposición de los interesados de una cierta información mínima: ejercicio de sus derechos, cumplimiento del deber de información y posibilidad de designar un punto de contacto único para dicho ejercicio de derechos.

Ya hemos dicho que el Considerando 50 aconseja clarificar las responsabilidades entre corresponsables. Desde mi punto de vista, esto es lo más importante.

En general a ninguna empresa le va a gustar firmar un documento encabezado con la etiquetita de “Acuerdo de Corresponsabilidad” o similar.

Pero las cosas son lo que son, y no lo que las partes dicen que son.

Desde este punto de vista, el mejor consejo que se puede dar a cualquiera de los implicados es coger el toro por los cuernos.

Si eres responsable de tratamiento, no vas a ganar nada haciéndote pasar por “Encargado” en un acuerdo. Más aún, habrás perdido la oportunidad de delimitar responsabilidades con tu compañero de viaje: será la autoridad la que lo haga por ti mañana, en su caso. ¡¡Suerte!!

Por eso, en lugar de invertir esfuerzos en evitar que se te etiquete como “Responsable” (que si lo eres, lo vas a ser, te denomines como te denomines sobre el papel), lo mejor es plasmar honesta y fidedignamente en el papel qué vas a hacer tú, y qué va a hacer tu corresponsable, de modo que si las cosas se tuercen, ese contrato sirva para algo y pueda permitir deslindar responsabilidades entre las Partes y frente a terceros.

La virtud del consejo es que si te conduces honesta y fidedignamente reflejando tu ámbito de actuación, la otra parte no podrá cuestionar tu documentación sin ponerse ella misma en evidencia. Con la verdad se llega a cualquier sitio, amics.

Por eso, en la práctica es muy aconsejable incorporar un “Mini-registro de Actividades de Tratamiento” específico que describa las distintas actividades de tratamiento, la intervención de cada una de las partes en las mismas, y la consiguiente responsabilidad de cada una.

 

Otros elementos que se recomienda integrar en el contrato o acuerdo de corresponsabilidad

 

Además del mínimo que marca el RGPD en su artículo 26, y en atención al resto de principios y elementos del propio RGPD, entre otros, los siguientes puntos importantes a incluir en el mismo:

  • Responsabilidades, funciones y relaciones respectivas de las partes.
  • Descripción de las operaciones de tratamiento, haciendo hincapié en la necesidad de atenerse a la limitación del tratamiento por cada parte a la/s finalidad/es acordada/s.
  • Delimitación de responsabilidades en relación con y punto de contacto frente al interesado.
  • Obligaciones respectivas de cada parte en relación con el suministro a los interesados de la información prevista en los artículos 13 y 14 del RGPD, incluyendo los aspectos relevantes del propio contrato.
  • Categorías de datos personales y de interesados afectados por el tratamiento.
  • Responsabilidades en materia de seguridad de la información, incluida la notificación de brechas de seguridad, marcando un plazo máximo para comunicarse entre las partes el incidente ocurrido y para consensuar y realizar en su caso la comunicación a la Agencia Española de Protección de Datos y a los interesados.
  • Cooperación entre los corresponsables del tratamiento para responder a las solicitudes de los interesados y en lo que respecta al ejercicio de otros derechos de los interesados.
  • Cooperación y coordinación sobre la realización de las evaluaciones de impacto (DPIA) que fuera necesarias.
  • Coordinación e información recíproca en relación con la contratación (individual o conjunta, según corresponda) de encargados del tratamiento.

 

Caso práctico 2 de corresponsabilidad: Hospital y Promotor en Ensayos clínicos.

 

La aplicación del Reglamento General de Protección de Datos ha traído consigo cambios de enfoque importantes en esta materia como:

  • Los datos “disociados” sí son datos personales: son datos pseudoanonimizados, en vez de anónimos. En consecuencia, se clarifica la aplicación a los datos codificados en ensayos clínicos de la normativa de protección de datos personales.
  • La aplicación de la figura de la corresponsabilidad, concepto que ya existía en la Directiva del 95, pero que ahora se ha regulado más detalladamente en el Reglamento y cuya aplicación se promueve desde las entidades de cumplimiento e instituciones europeas para clarificar responsabilidades entre los responsables entre sí, y principalmente, frente al titular de los datos tratados.

 

Estas “novedades” (que no lo eran tanto) han provocado una interpretación fragmentada en la interpretación de los roles que deben asumir Centro y Promotor en los contratos tipo relacionados con ensayos clínicos utilizados en las distintas Comunidades Autónomas en España. Quizá la única nota común a todas ellas sea la reticencia a aceptar lo evidente: el régimen de corresponsabilidad.

La figura que mejor se adapta a los Ensayos Clínicos es la de corresponsabilidad: dos entidades que determinan conjuntamente las finalidades y medios de un haz de tratamientos de datos personales, pero realizando cada una sus propias operaciones de tratamiento, y por tanto responsabilizándose efectiva y exclusivamente de su concreto ámbito de actuación.

 

¿Los Centros Hopitalarios son corresponsables? ¿son Encargados?

 

Aplicándome -nunca mejor dicho- mi propia medicina, me planteo las preguntas que me hacía al principio del post:

¿Quién ha decidido…

…para qué se van a tratar los datos?

… el perímetro exacto del tratamiento?

…durante cuánto tiempo?

…bajo qué medidas de seguridad?

¿A quién beneficia el tratamiento? ¿Quién lo inició? ¿Por qué demonios se están tratando estos datos? ¿Quién lo dijo?

Hay distintos tipos de Ensayos y cada pregunta puede tener distintas respuestas. Lo que resulta evidente es que un Ensayo parte de un Centro que abre sus puertas a un Promotor, poniendo encima de la mesa un Investigador o un equipo de investigadores, y un conjunto de pacientes que resulten candidatos viables conforme a dichos protocolos.

Pero los datos de los pacientes, las historias clínicas, son siempre del Centro. Así que el Centro será Responsable. Punto.

 

Sí amigos, sí: corresponsabilidad

 

Y el Promotor también, por mucho que en ningún caso deba poder acceder a la concreta identidad de los pacientes sujetos al ensayo: sólo a los datos codificados.

De acuerdo con este argumento, resultaría insólito en la práctica un ensayo clínico realizado por un Promotor por sus propios medios, sin la colaboración de un Centro hospitalario.

Elocuentemente, lo contrario sí es posible (art. 39.6 RD 1090/2015: “El promotor y el investigador pueden ser la misma persona”).

Recordemos también que la esencia del Encargado de tratamiento es actuar en nombre del responsable y en su exclusivo interés, elementos ambos que difícilmente concurren en los investigadores del Centro Hospitalario, o del propio Centro, en un Ensayo Clínico.

Y recordamos aquí lo dicho en general para la regulación de cualquier relación de corresponsabilidad: el acuerdo en el que se coja el rábano por las hojas, en vez de tratar de delimitar bien y fielmente los respectivos ámbitos de actuación (operación por operación de tratamiento) al final del día no será nada más que una oportunidad perdida.

Y ello porque la responsabilidad de los corresponsables frente a terceros no es solidaria en relación con el proyecto en conjunto, sino limitada a las operaciones de tratamiento en las que efectivamente participen (respecto de esas, sí será solidaria si son varios corresponsables).

Y bueno, este planteamiento no es mío, es unánime en las autoridades de cumplimiento: veamos:

 

a.- Comisión Europea

 

 La Comisión Europea, en su documento de preguntas frecuentes sobre la interrelación entre el Reglamento de Ensayos Clínicos y el RGPD, no plantea expresamente la corresponsabilidad, pero afirma con toda naturalidad la condición de Responsables, tanto del Promotor, como del Centro al que esté vinculado el Investigador.

Este documento, de hecho, explica claramente cómo Promotor y Centro pueden acudir a distintas bases legales (consentimiento, obligación legal, interés público, interés legítimo) para legitimar sus respectivos tratamientos de datos (es en su condición de tales responsables, en la que deben determinar la base legal que mejor corresponda a sus tratamientos: los Encargados no determinan nada, a estos efectos).

La obligación legal ampara los tratamientos no relacionados con actividades de investigación propiamente dichas, sino en relación con el cumplimiento de obligaciones formales y procedimentales (notificación de acontecimientos adversos, archivo de historias clínicas, cesión a autoridades a efectos de inspección, por ejemplo).

Estas obligaciones incumben respectivamente a Centro y promotor y les erigen indiscutiblemente en responsables de dichos tratamientos de datos personales.

Y como tales responsables, por tanto, deben determinar la base legal que mejor corresponda a sus tratamientos.

 

b.- Comité Europeo de Protección de Datos

 

El Comité Europeo de Protección de Datos, en su Opinión sobre el nuevo Reglamento de Ensayos Clínicos (en respuesta al documento de la Comisión mencionado antes) no habla específicamente de corresponsabilidad, pero sí se refiere en plural e indistintamente como Responsables de tratamiento a Centro y Promotor:

Más aún, el Comité abre la puerta a que tanto el Promotor como el Investigador (su Centro, por tanto) se beneficien de la “presunción de compatibilidad de tratamientos secundarios” prevista en el art. 5.1.b) RGPD en beneficio de, entre otros, la investigación científica.

Es evidente que ni el Centro ni el Investigador podrían realizar tratamiento secundario de datos alguno si interviniera en un ensayo clínico como “encargado de tratamiento” del Promotor.

 

c.- Grupo de Trabajo del art. 29

 

Pero es que el EDPB en su antigua encarnación como Grupo de Trabajo del art. 29 ya explicaba allá por 2010, la figura de la corresponsabilidad… precisamente poniendo como ejemplo el supuesto de un Ensayo Clínico.

En su Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» se incluía el siguiente cuadro (pg. 34).

No es de extrañar que la Agencia de Protección de Datos Catalana haya seguido el ejemplo.

 

d.- Agencia de Protección de Datos Catalana

 

La APDCAT califica con total naturalidad como corresponsables al Centro y al Promotor en un supuesto análogo.

Esta entidad ha dictaminado que el Centro hospitalario “es, de acuerdo con la normativa sectorial aplicable (Ley 21/2000 y Ley 41/2002), el responsable de los datos tratados en la historia clínica de los pacientes que atiende, incluidos aquellos que, a través de la prestación de su consentimiento, deciden participar en un ensayo clínico”.

Esta calificación le lleva a señalar que el propio Centro debe suscribir un contrato de encargado de tratamiento con el Monitor, en la medida en que éste accederá a los datos de las Historias Clínicas de los sujetos (datos bajo la exclusiva responsabilidad del Centro y a los que el Promotor nunca puede tener acceso).

 

corresponsabilidad

Caso práctico 3: Corresponsabilidad en el tratamiento de datos biométricos

 

Expongo aquí un caso prefabricado con el que nos pasamos un par de días preCOVID entretenidos debatiendo en Linkedin. Y digo preCOVID porque… ahora la cosa tiene aún más gracia: si cambian el dato biométrico por el dato de salud en la toma de temperatura (cuando lo haiga)… puede ser el mismo caso.

Para evitar el peñazo terminológico de liarnos con lo de contrata, subcontrata, contratista, principal, subcontratado, lo contaremos con unos personajes muy queridos de una película que me gusta mucho: Willie Wonka (1973) -netamente superior a la versión de Tim Burton, que también me gusta mucho-. 

Caso: La empresa Oompa-Loompa Ltd presta servicios en las instalaciones de Willy Wonka Ltd.

Como se sabe, estos servicios no se pueden prestar, sin gasp, tener acceso a los valiosísimos y misteriosísimos secretos de Mr Wonka himself.

En consecuencia, Wonka impone a Oompa-Loompa Ltd el cumplimiento a sus trabajadores (¿lo adivinan? Son los propios Oompa-Loompas) de exigentes medidas de seguridad.

Entre ellas, Wonka dispone de un sistema de control de entrada basada en la lectura de la huella dactilar de los trabajadores -propios y ajenos-que diariamente necesitan acceder a las mismas para prestar sus servicios.

(Ya sé, ya sé que en la peli no había otros trabajadores que los Oompa-Loompas, pero este es mi blog, y mi caso práctico, así que aquí los Oompa-Loompas son currelas de contrata ¿estamos?).

Así que tenemos a los trabajadores de Wonka, Y a los Oompa-Loompas.

 

Cuestión planteada

 

El problema es legitimar el tratamiento de los datos biométricos, no en relación con los propios trabajadores de Wonka, sino en relación con los Oompa-Loompas: los de las empresas contratadas para prestar servicios específicos dentro de dichas instalaciones.

El tratamiento de datos biométricos (huella dactilar) de los trabajadores de Wonka con la finalidad de control de accesos, se encuentra legitimado y justificado, en atención a diversos intereses legítimos –muy singularmente, proteger el knowhow único del pirulí sin fin y de las ardillas asesinas esas-. 

Ya saben que prefiero el interés legítimo a la obligación legal en general.

Ustedes hagan lo que quieran. En cualquier caso, este es un supuesto de laboratorio (en realidad, no, pero ya me entienden).

Resulta muy relevante que la razonabilidad del tratamiento (la necesidad de controlar rigurosamente la identidad de las personas que acceden a las instalaciones) es la misma tanto para los trabajadores propios de Wonka, como para los Oompa-Loompas.

Por eso mismo, y con independencia de cualquier consideración jurídica en este momento, también resulta relevante que la posibilidad de que un determinado grupo de trabajadores pudiera acceder diariamente a las instalaciones de forma recurrente sin someterse al riguroso control de acceso dispuesto al efecto, comprometería el sistema de seguridad de Wonka en su conjunto, con impacto inmediato en los riesgos que se pretende minimizar.

 

¿Cómo justificamos el tratamiento de datos biométricos de los Oompa-Loompas?

 

Como decía al principio, este caso es, mutatis mutandis, el mismo que el del tratamiento de datos de salud por toma de temperatura a trabajadores propios y ajenos, así que, donde haya tratamiento, se pueden aplicar el cuento.

Soy consciente del reciente dictamen de la APDCAT, pero ese planteamiento y mi approach son diferentes en este caso.

Así que vayamos por partes: cualquier tratamiento de datos de categoría especial requiere una doble justificación:

  • La concurrencia de una base general de legitimación del artículo 6 del Reglamento General de Protección de Datos y, adicionalmente
  • La concurrencia de alguna de las excepciones -previstas en el artículo 9.2 del RGPD- a la prohibición genérica de tratamiento de los datos de categoría especial (la huella dactilar está incluida en esta categoría, en tanto que dato biométrico, si tiene por objeto la “identificación” del interesado).

(Inciso: no me vengan con el rollete de “eso me lo salto con lo de la identificación/autenticación” porque aplica en un par de casos muuuuy concretos. Más sobre esto pronto).

En relación con los trabajadores de Wonka: La base legítima general viene dada por intereses legítimos corporativos. Sí, prefiero los intereses legítimos a la obligación general, por lo expuesto en mi anterior post.

Adicionalmente, el tratamiento de la huella dactilar puede subsumirse en la excepción prevista en el artículo 9.2.b) RGPD (cumplimiento de obligaciones en el ámbito laboral del Responsable del tratamiento).

La base legítima general funciona igualmente para los trabajadores de Wonka y para los Oompa-Loompas: los mismos intereses legítimos corporativos descritos, que legitiman el control de accesos a instalaciones con independencia de que la persona que penetra en sus instalaciones tenga relación laboral directa con Wonka o no.

 

El problema está en la justificación del tratamiento de los datos de categoría especial

 

Al no mediar relación laboral entre los Oompa-Loompas y Wonka, el art. 9.2.b) RGPD no encaja bien en el supuesto.

Si la cuestión se analiza teniendo en cuenta solamente la relación entre Wonka y el Oompa-Loompa, no existe relación laboral.

Wonka sólo tiene relación mercantil (prestación de servicios) y sólo con la empresa contratada (Oompa-Loompas Ltd, recordemos), no directamente con los trabajadores de esta. Y por eso la base general del 6.1.b) –ejecución de contrato- tampoco aplica. Ya lo ven, soy más papista que el Papa. Pero ¡¡hey!! llegaré igualmente a mi destino por el camino más largo. Sigan conmigo.

Adicional y destacadamente, el hecho de que el 9.2 RGPD recoja excepciones a un principio general exige una interpretación restrictiva de las mismas. Esto excluye además cualquier intento de interpretación analógica.

Sin embargo, la razonabilidad y el sentido común parece indicar que el tratamiento de la huella dactilar de trabajadores propios y Oompa-Loompas, tienen en común la misma finalidad, los mismos medios, garantías, circunstancias… es decir, son indistinguibles salvo en lo que tiene que ver con una relación jurídica más compleja por la presencia de una tercera empresa contratada “interpuesta”.

 

Y esta es la clave.

 

La situación jurídica se clarifica si la examinamos considerando a Wonka y a Oompa-Loompas Ltd. como corresponsables de los tratamientos de los datos de los Oompa-Loompas.

Sus datos son tratados de forma conjunta por ambos corresponsables aunque las operaciones de tratamiento desarrolladas por cada una y los datos accedidos por cada una sean distintos).

 

Aplicación de la figura de la corresponsabilidad a la cuestión planteada

 

Como hemos visto, la figura recogida en el artículo 26 del RGPD regula la situación en la que varias organizaciones determinan conjuntamente -de forma potencial o efectiva- las finalidades y medios de un tratamiento de datos.

El elemento clave para determinar la existencia de corresponsabilidad es la determinación conjunta de los fines y medios por los corresponsables.

  • Esa determinación no tiene por qué ser “efectiva”, basta con que sea potencial.
  • Para ser corresponsable no es necesario tener acceso a los datos personales tratados.
  • Tampoco es necesario que todos los corresponsables ejecuten todas las operaciones en que se desglose el tratamiento en cada caso.

En el caso planteado, Wonka contrata la prestación de un servicio que se debe prestar por los Oompa-Loompas en las instalaciones de Wonka – bajo un régimen interno de prevención de riesgos laborales (y bajo la responsabilidad en este y otros ámbitos) de Wonka.

 

Determinación “no efectiva”

 

La prestación del servicio “in house” implica un haz de tratamientos de datos de los Oompa-Loompas por parte de Wonka (nóminas y justificantes de pagos a la Seguridad Social y, por ejemplo, certificados de capacitación profesional.

Y ello para evitar que la responsabilidad solidaria que la ley impone a Wonka en caso de que dichas obligaciones no se hayan cumplido, no se hagan efectivas.

Los Oompa-Loompas deben estar asimismo capacitados para realizar la tarea correspondiente, y conocer -para poder cumplir- las normas de prevención de riesgos laborales aplicables en el entorno laboral de Wonka.

Todo ello a más a más de la identificación por huella dactilar.

En consecuencia, Oompa-Loompa Ltd cede, o permite a Wonka el acceso a datos formales de identificación de los Oompa-Loompas: nóminas, justificantes de pagos a la seguridad social, y por ejemplo certificados de capacitación profesional…) derivados de otras responsabilidades –obligaciones legales- que vinculan a Wonka por el mero hecho de la contratación.

Wonka necesita estos datos para cerciorarse del cumplimiento de una obligación legal por parte de Oompa-Loompa Ltd. Y es que o la cumple Oompa-Loompa Ltd, o le tocará comerse a él el “golden ticket”.

Así planteada la cuestión, se ve claramente que Wonka y Oompa-Loompa Ltd determinan conjuntamente la finalidad y medios de un conjunto de tratamientos de datos. 

No es baladí, sino frecuente, que estos ámbitos de corresponsabilidad vengan determinados por obligaciones legales sobre uno de las dos partes, que sin la regulación, serían meros encargados o meros responsables, como describíamos antes, sin especialidad alguna.

 

Corresponsabilidad sin acceso. No todos lo hacen todo

 

Adicionalmente Wonka asume en virtud de la contratación una serie de responsabilidades (obligaciones legales) en relación con los Oompa-Loompas (que se garantice el pago de su salario, cotizaciones de seguridad social, prevención de riesgos laborales), del mismo modo que Wonka tiene que velar por los mismos derechos de sus propios trabajadores.

En este régimen de corresponsabilidad es natural y frecuente que determinados tratamientos (particularmente: el de control de acceso por huella dactilar) sean realizados sólo por uno de los corresponsables para sus propios fines.

Podría ser que el tratamiento fuera necesario para el cumplimiento de una obligación legal, o podría ser, como en Wonka que, sin llegar a tanto –o sí, jeje- los intereses legítimos en ristre permitan justificar el tratamiento a propios, y también a trabajadores extraños.

En relación con este caso, el grueso de la responsabilidad (regularidad, licitud y seguridad del concreto tratamiento) corresponderá a Wonka, limitándose la responsabilidad de Oompa-Loompa Ltd a cumplimentar la información legal a los Oompa-Loompas sobre el mismo (doctrina “Fashion ID”), y, por ejemplo, a servir de punto de contacto para atender los ejercicios de derechos “habeas data” de los mismos (derechos que tendrá que trasladar a Wonka, que es la única entidad que lógicamente puede atenderlos pues Oompa Loompa Ltd no trata datos biométricos de sus trabajadores).

Wonka y Oompa-Loompa Ltd determinan la finalidad y medios del tratamiento conjunto de los datos de los Oompa-Loompas.

Crean así un “entorno común” de tratamientos –en este caso, laboral- en el que no necesariamente todas las actividades de tratamiento tienen que ser comunes en finalidad y medios para ambas partes. Ni siquiera realizadas efectivamente por las dos.

Así por ejemplo, Wonka realiza en solitario su control de acceso mediante datos biométricos.

Habría mucho más que decir sobre la corresponsabilidad, pero he preferido detenerme en ejemplos prácticos.

 

 

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de protección de datos