Condición de encargado del tratamiento de empresa contratada para destruir documentación

1710

¿Las empresas dedicadas a la destrucción de documentos responden a la figura de encargado del tratamiento o se convierten en responsables del mismo cuando se contrata con ellas un servicio?

A esta cuestión contesta la Agencia Española de Protección de Datos (AEPD) a través del Informe 227-2010 de su Gabinete Jurídico.

Acudiendo a las definiciones legales encontramos que el artículo 3 d) de la Ley Orgánica de Protección de Datos (LOPD) define al responsable del fichero como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Por su parte, el artículo 3.g) de la misma Ley define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.”

Por lo tanto, la condición de responsable o encargado del tratamiento se delimita en virtud de la capacidad de decisión sobre la finalidad, contenido o uso del tratamiento que ostentará el responsable, no correspondiendo dicha potestad al encargado, habida cuenta del hecho de que el mismo se limitará a actuar en virtud de las instrucciones conferidas por el responsable del tratamiento.

Así tendríamos que la empresa de destrucción documental se situaría en la posición de encargada del tratamiento, pero la AEPD añade en el informe que para que la relación entre responsable y encargado del tratamiento pueda darse y se ajuste a la Ley, es preciso que se cumplan los requisitos expresados en el artículo 12 de la LOPD, considerando los siguientes aspectos:

  • En primer lugar, es preciso que el acceso a los datos por el tercero (en el presente caso por la empresa prestadora del servicio de destrucción de documentos) se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.
  • En lo que atañe a los requisitos formales de este tipo de contratos, el artículo 12.2 de la Ley Orgánica 15/1999 impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.

También se indica una advertencia: en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

Evidentemente, en lo que se refiere a las medidas de seguridad que hayan de ser adoptadas por la empresa de destrucción documental serán las mismas que las impuestas al responsable del fichero, tal y como se indica en los artículo 9 y 12.2 de la LOPD.

En resumen, en aquellos supuestos en que se contrate un servicio de destrucción de documentos, resultará responsable del tratamiento la empresa o entidad que contrate dicho servicio, respondiendo la empresa prestadora del servicio contratado a la figura de encargado del tratamiento.

Finalmente el informe recuerda el artículo 83 del Reglamento de desarrollo de la LOPD establece una cautela para el supuesto de prestaciones de servicios sin acceso a datos personales, exigiendo que el responsable del fichero o tratamiento “limite el acceso a datos o a los soportes que los contengan o a los recursos del sistema de información” al personal que preste dicho tipo de servicios. En particular, si se trata de personal ajeno a la empresa o entidad a quien se le prestan el servicio, dispone que “el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.” En consecuencia, cualquier prestación de servicios a un tercero, aun cuando no conlleve el acceso a datos personales contenidos en los ficheros de éste, requiere que se proceda en la forma establecida en dicho precepto.

Condición de encargado del tratamiento de empresa contratada para destruir documentación
Vota este artículo

12 Comentarios

  1. Se me plantea una duda seria con las empresas que prestan el mal llamado servicio de “destrucción In Situ”, porque en realidad es “destrucción en la calle”. Se trata de empresas que carecen de una PLANTA DE DESTRUCCIÓN apropiada próxima al cliente, y ofrecen una destructora itinerante que ejecuta el servicio EN LA CALLE: sin las mínimas medidas de privacidad o seguridad, compartiendo el “escenario” con peatones, curiosos, o malhechores…
    ¿Quién es el Responsable del fichero, mientras la documentación espera EN LA ACERA a ser triturada en el camión?: ¿El anterior responsable del fichero (cliente)?, ¿la empresa contratada?, ¿el ayuntamiento (está en la calle)?, ¿el señor que pasa por allí y coge unos papeles del suelo?… Cobertura Nacional, no significa que los vehículos de la empresa puedan circular por todo el territorio nacional, sino que se cuenta con infraestrucura en toda la geografía Nacional, y eso parece que por el momento no lo tiene ninguna empresa del sector. Lo más parecido a una correcta “destrucción In Situ”, sería una correcta destrucción, en una planta CERRADA y apropiada, próxima al “sitio” donde se genera la documentación, y evitando largos desplazamientos arriesgados e innecesarios.

    • Gracias Javier por visitarnos y comentar. Reconozco que no conocía este tipo de destrucción “callejera” y por tanto no me atrevo a opinar, tendría que saber más sobre sus procedimentos, pero en cualquier caso seguro que dejar la documentación en una acera es una vulneración de la LOPD, lo que habría que ver en función del contrato que se firme es quién sería responsable.

  2. Respecto al comentario de Javier, deciros que la destrucción in situ es la forma más confidencial que una empresa puede destruir la documentación, ya que la unidad móvil se traslada a las dependencias del cliente y, a la vista de la persona encargada de ello, ve la destrucción de sus datos, sin innecesarios desplazamientos del personal de la empresa contratante, y observando la correcta destrucción, cosa que las empresas de destrucción en planta podrían vulnerar este hecho, ya que la mayoría de las empresas que contratan este servicio no tienen tiempo de traslados innecesarios de su personal y por ese hecho esos “datos” podrían no ser destruidos y comercializarse con ellos para conseguir mayor valorización de este residuo, como todos sabemos.
    Decir que las empresas in situ dejan la documentación en la calle me parece una barbaridad, porque destruyen en el mismo momento de la recogida, y nunca dejan la documentación a la vista de nadie y tienen todas las medidas de seguridad necesarias, cosa que en algunas de destrucción en planta se podría cuestionar.

  3. Me podrian decir que documentación o requisitos deben de poseer las empresas dedicadas a la destrucccion de documentos.Gracias

  4. En cuanto a la destrucción de documentación “in situ”, en el caso de Dataeraser, no se trataría de una “destrucción en la calle”, ya que en nuestro caso, acercariamos a la empresa del cliente nuestra unidad de destrucción móvil, evitando así susceptibilidades en cuanto al posible incumplimiento de la LOPD

  5. Buenos dias, aunque es un poco antigua la entrada quiero dar mi opinion al respecto, soy propietaria de una empresa de destruccion de documentos en planta, y defiendo tanto esta como la destruccion insitu, cualquiera de las dos opciones ofrecen las garantias de cumplimiento LOPD, no me creo que una empresa in situ deje la documentacion en la acera, lo normal es que tengan un protocolo interno en el que la documentacion este custodiada en todo momento ofreciendo a su cliente la ventaja de verlo sin desplazamientos y en el caso de destruccion en planta, se ofrecen las mismas garantías puesto que ademas de la posibilidad de estar presente durante la destrucción, hoy en día se puede ofrecer la posibilidad de enviar una grabación p.e. Y lo de no destruir los datos y comercializar con ellos? Se incumpliria un contrato previamente firmado, por esta regla también lo puede hacer el asesor, la muta de seguros, la empresa de prevención de riesgos laborales…, y no es asi no? Somos profesionales prestando un servicio a empresas, como en todos los sectores los habra mejor y peor, ya es cuestión de cada empresa que elija una que cumpla las debidas garantia.

  6. Hola,
    entiendo pues, que encargado del tratamiento es la empresa de destrucción de papel confidencial.
    però se debe notificar a la agencia? ya que un fichero de una empresa puede tenir varios encargados.
    y por ejemplo, la empresa destructora de papel en este caso accedí a todos los ficheros de una empresa.
    es que claro,no sé si en el formulario te deja llenar varios encargados del tratamiento.
    un fichero de nominas de una empresa lo puede tratar una gestoria y tambien la empresa destructora de papel.

  7. hola Jesús,
    Gracias, es que es un lio.
    si, lo del contrato lo tengo claro, el contrato del articulo 12.
    entonces en el formulario nota directamente o no lo ponemos o bien se pone el encargado “real”
    ¿Cres que es prescindible rellenar el campo de encargado de tratamiento, en el formulario nota?

    • Según la propia AEPD:

      Si existen varios encargados en estas condiciones, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los encargados del tratamiento, se podrán comunicar, mediante un escrito adjunto a la notificación para que el RGPD tome nota a los efectos informativos.

Dejar respuesta