Tratamientos de datos por empresas de mensajería en el marco del RGPD

Cada vez es más frecuente y una práctica habitual, la contratación por parte de las entidades de empresas de mensajería para envío de su correspondencia y paquetería a sus clientes. Lo que a priori puede entenderse como un mero encargo de tratamiento sobre datos personales, derivado del servicio prestado, al igual que otros prestadores de servicios, ha ocasionado diferentes dudas, a tener de la opinión de la Agencia Española de Protección de Datos en diferentes Informes Jurídicos (entre otros, 38942/2017). En este sentido, el debate se incrementa, desde el punto de vista del derecho comparado, cuando otras autoridades de control europeas, como es el caso del ICO inglés, no se pronuncian a este respecto, y entiende a las empresas de mensajería como meros intermediarios, por lo que no ostentarían la figura de responsable o encargado del tratamiento.

Esta consideración, de difícil encaje en materia de protección de datos, genera determinadas incertidumbres en el ámbito de la protección de los datos, responsabilidades o rol que juegan dichas empresas en el proceso. Aspectos que adquieren una mayor relevancia tras la entrada en vigor del Reglamento General de Protección de Datos. Así entre los aspectos que habrá que proteger, como adelantábamos, está la responsabilidad en caso de fuga de información pérdida de la misma o entrega a un tercero no autorizado, entre otros aspectos.

Adicionalmente, para un profundo análisis del proceso deberemos tener en cuenta otra normativa, como la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, en cuyo artículo 7 específica que, “1. Conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los operadores que presten servicios postales no podrían facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones. 2. La obligación de protección de los datos incluirá el deber de secreto de los de carácter personal, la confidencialidad de la información transmitida o almacenada y la protección de la intimidad”.

En primer lugar, como bien indica el propio informe de la Agencia, la empresa de mensajería es un prestador de servicios, de hecho, en todo momento se refiere al contrato de prestación de servicios. En este sentido, el artículo 4.1.e del Reglamento de desarrollo de la LOPD, bajo la definición de “persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio” delimita lo que se entiende por Encargado del Tratamiento.

En este sentido, atendiendo a la definición facilitada por la propia normativa, en relación con el servicio contratado, actuaría como encargado del tratamiento, siguiendo las indicaciones del responsable del fichero (quien contrata el servicio), que es quién decide sobre el tipo de envío, en que horario, en qué dirección postal y a que persona se debe entregar la correspondencia enviada, en este sentido, y a mayor abundamiento, en determinados casos en los que se remite la correspondencia de forma certificada, incluso acredita al responsable del fichero que esta información ja sido remitida y entregada.

Así las cosas, conforme al informe de la Agencia y la normativa que cita, no debemos obviar que, en cumplimiento de una obligación legal, el encargado del tratamiento puede tener determinadas obligaciones que le puedan elevar a la categoría de responsable del tratamiento, aunque con determinadas limitaciones. Así, tal y como ocurre en otro ámbitos, como el sanitario, el medico prestador del servicio (encargado del tratamiento), pese a no poder utilizar los datos para otras finalidades, o poder contactar con el paciente para ofrecerle otros servicios (cuando trata los datos en el marco de la prestación de servicios a una determinada empresa), si tendrá la obligación de mantener la información custodiada y bloqueada (Ley 41/2002 de autonomía del paciente), facilitar determinados datos a terceros (informe post operatorio en el caso de alquiler de quirófanos), u otras operaciones, que en su ámbito podrían entenderse como un cambio de figura a responsable del tratamiento.

En todo caso, conforme a la definición legal de responsable del tratamiento (artículo 4.1 del RLOPD), ” persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente” y el artículo 3.d de la LOPD, ” persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.

Sobre la definición de encargado, debe tenerse en cuenta la facilitada por el Reglamento General de Protección de Datos, en su artículo 4.8, la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, y del responsable del tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros, en su artículo 4.3.

Así las cosas, la primera incógnita que debemos despejar es si la empresa de mensajería, realmente, tiene capacidad para decidir sobre la finalidad del tratamiento, es decir, ¿podría remitir comunicaciones comerciales ofreciendo sus servicios a los destinatarios de los envíos que realizamos? ¿puede decidir sobre el contenido de los datos? En ambos casos, las respuesta se antoja negativa, debiendo utilizar la información con la exclusiva finalidad de dar cumplimiento al servicio contratado, entregando la correspondencia al destinatario en la dirección facilitada al efecto y en caso contrario devolver la misma.

En todo caso, es cierto, como indica la Agencia en su informe, que la empresa de mensajería puede llevar a cabo determinados tratamientos o tomar determinadas decisiones sobre los mismos, al igual que posee una responsabilidad sobre el servicio y una obligación de mantener determinada información bloqueada, o , incluso, hacer determinadas comunicaciones a las fuerzas y cuerpos de seguridad del Estado.

Así las cosas, si bien es mantenible jurídicamente que, este tipo de tratamientos los realice en calidad de responsable del tratamiento, igualmente jurídicamente debe resaltarse que su capacidad de decisión o independencia no es plena, no pudiendo, por ejemplo, destinar los datos a otra finalidad diferente, como se ha puesto de manifiesto.

En relación con el contenido de las comunicaciones, salvo servicios concretos como envío de correos con certificación de texto o burofaxes, en principio es un aspecto que quedaría protegido por nuestra propia Constitución y el secreto de la comunicaciones, cuyo quebrantamiento puede implicar la comisión de un delito.

En todo caso, en base al análisis realizado, debemos entender que en el tratamiento de datos del servicio analizado conviven dos figuras, encargado del tratamiento en relación con el servicio que os prestan, por lo que os deberán garantizar, tal y como establece la propia LOPD en su artículo 12, que los datos no serán utilizados para otra finalidad, entre otros aspectos, y su actuación como responsable del tratamiento, en el ámbito concreto analizado. Por lo que, nuestra recomendación, en cumplimiento de la precitada normativa y de lo establecido en el RGPD, con el fin adicional de mitigar posibles riesgos asociados a este tratamiento, es suscribir el correspondiente contrato de acceso a datos, con las especificaciones analizadas.

Así, en el momento de la elección de este prestador del servicio, deberán tenerse en cuentas las cuestiones establecidas en el artículo 29 del RGPD, por ejemplo, “cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado (…) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad”, aspectos, estos últimos que recogía la propia Ley 43/2010.