Partimos del supuesto, más que habitual, de una empresa que acude, ya sea para reducir costes o mejorar un servicio recibido, a un nuevo proveedor para contratar sus servicios, supongamos que de gestión fiscal, contable y laboral, pero se encuentra con un problema recurrente: la antigua gestoría, con la que acaba de rescindir el contrato, no le quiere devolver la documentación que a lo largo del tiempo de relación contractual ha ido entregando ni la información vinculada a ésta.
Entendiendo que estamos frente a un conflicto en el tratamiento de información de carácter personal acudimos a la Ley Orgánica 15/1999 de Protección de Datos para obtener las respuesta; dicha Norma delimita claramente en su artículo 12.2 que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato (…), estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.
El hecho, además, de que la relación derivada del contrato sea la existente entre un responsable y un encargado del tratamiento implicará que al término de la relación sea aplicable lo establecido en el artículo 12.3, de forma que “una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”.
Partiendo de esta base legal, nos debemos plantear algunas cuestiones referentes, sobre todo, a las dos figuras que forman parte de la relación contractual, la empresa que contrata los servicios y la empresa que realizará el encargo, o lo que es lo mismo, el responsable del fichero y el encargado del tratamiento, así como las obligaciones dimanantes de cada una de ellas según la normativa.
A lo largo de la relación contractual, la empresa adjudicataria del servicio actuará según las indicaciones expresas de su cliente, a fin de realizar correctamente el encargo y fidelizarle a lo largo de los años. Los problemas surgen en el momento en que ese encargo finaliza, el cliente, ejerciendo su libertad de decidir con qué proveedores o colaboradores trabaja, rescinde el contrato; en estos casos, el encargado del tratamiento no debe conservar los datos relacionados con la prestación de servicios a menos que ello sea necesario para atender a las responsabilidades derivadas de su contrato y para esta exclusiva finalidad, en ningún caso, e independientemente del tiempo en que haya trabajado para la empresa cliente y de lo elaborada que haya resultado la información que aquélla le ha venido facilitando, puede considerarse responsable del fichero ni puede usar los datos para otros fines que los necesarios para atender esas responsabilidades.
En caso de pretenderlo, su actitud llevará aparejada la consecuencia, prevista en el artículo 12.4 “en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”. ¿Y cuál es la primera obligación que desatiende, norma básica de todo el entramado de la normativa de protección de datos? El tratamiento de datos sin otorgar la información debida y sin recabar el consentimiento del afectado.
Para seguir dando respuesta a este problema de la negación en la devolución de la información por parte de algunos encargados de tratamiento, una vez rescindidos los contratos, la Agencia Española de Protección de Datos ha venido indicando que el deber de devolución de la información que tiene la empresa adjudicataria podrá realizarse mediante la entrega directa de los datos al nuevo encargado del tratamiento que el cliente designase, toda vez que en este segundo caso el encargado actuaría como mero mandatario del responsable, siendo precisamente éste el que establece a quién han de entregarse los datos en su nombre y por su cuenta. En esta situación, el responsable del fichero se limita a reemplazar su vínculo con un encargado del tratamiento por un nuevo vínculo con un encargado distinto que va a prestar servicios similares a los del primero, resultando suficiente para considerar cumplido lo establecido en el artículo 12.3 de la Ley Orgánica 15/1999 que el encargado entregue los datos al nuevo encargado expresamente designado por el responsable.
En definitiva, si no queremos arriesgarnos a tener una denuncia y posterior inspección de la Agencia Española de Protección de datos, de encontrarnos en la situación que un antiguo cliente nos solicite su información por resolución del contrato o, bien, la entrega de ésta a la nueva empresa adjudicataria del servicio deberemos atender siempre a su petición, en todo caso, con la devolución de la información y de los soportes en los que ésta esté contenida así como con el bloqueo de los datos hasta su destrucción. Esta última obligación había sido tratada en diversos Informes de la Agencia Española de Protección de Datos, entre ellos el Informe 283/2004 que vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, y a pesar de la devolución de la información, el encargado del tratamiento debería poder conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, únicamente, para esta finalidad y procediendo al bloqueo de datos, para no poder utilizarlos durante ese tiempo. Esto, actualmente, viene a ser reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.
Podemos encontrar diversos ejemplos de procedimientos sancionadores recaídos en este particular, por ejemplo, es digno de mención el procedimiento que sancionó a una empresa que, si bien estaba correctamente adaptada en forma a la normativa de protección de datos, con sus ficheros debidamente notificados, los contratos de encargo de tratamiento suscritos, clausulados incluidos correctamente y demás, la Agencia Española de Protección de datos valoró que su negativa a devolver los datos al responsable del fichero una vez finalizado el encargo constituía una infracción que debía sancionarse con una multa de 60.000€. Estas sanciones se han llegado a incrementar en otros procedimientos sancionadores hasta 300.000€ (ponemos el ejemplo del PS/00377/2005) al incurrir las empresas no únicamente en la infracción leve que supone la falta de devolución de la información, que hemos visto en el anterior supuesto de hecho, sino la ulterior utilización de la misma para cuestiones que nada tenían que ver con el encargo de tratamiento que legitimó la entrega, acción que viene determinada en la LOPD como infracción grave.
De todo lo expuesto con anterioridad, podemos concluir que estamos en un segundo estadio en el cumplimiento de la normativa de protección de datos, una norma que lleva en vigor suficientes años en nuestro país como para que la AEPD empiece a sancionar, y así intentar evitar prácticas que ponen en peligro el correcto funcionamiento del sistema legal de protección de datos de carácter personal, no solo a las cada vez más escasas empresas que no han implantado esta normativa, sino también respecto a aquellas que cumplen con una adaptación formal a la LOPD pero carecen de una adaptación mental y funcional de la misma. Lo primero que deben entender las empresas es que las bases de datos que almacenan no son propias sino que están compuestas por datos «prestados» por parte de sus clientes, sus alumnos, sus asociados, sus pacientes, sus trabajadores o de cualesquiera persona de la que recaben datos y que, por tanto, no pueden hacer lo que les plazca con la información obtenida sino que deben tener claras las limitaciones que esta situación les comporta. Únicamente con esa premisa, se evitarían muchas sanciones.
