Responsive menu mobile icon

Protección de datos. Prestadores de servicios, terceros y destinatarios

¿Qué papel juega un prestador de servicios con acceso a datos personales? ¿Encargado del Tratamiento? 

Un Encargado del Tratamiento se define en la legislación de la UE como alguien que procesa datos personales en nombre de un Responsable del Tratamiento. Las actividades encomendadas a un Encargado pueden estar limitadas a una tarea o contexto muy específico o pueden ser bastante generales e integrales.

Así, cuando el Servicio Andaluz de Salud o alguno de sus centros dependientes contrata un servicio (realización de pruebas diagnósticas, mantenimiento informático, ...) a un prestador (empresa, otra Administración, ...) y el mismo implica directa o indirectamente el tratamiento de datos personales, el primero actúa como Responsable mientras que el segundo actúa como Encargado.

El Responsable, como determinante de los fines y los medios del tratamiento, ha de formalizar un contrato con el Encargado, quien solo puede procesar datos personales siguiendo instrucciones del primero.

¿El Encargado del Tratamiento es un Tercero? ¿Y un familiar de un paciente o de un empleado? 

Un "tercero" es alguien diferente del Responsable y del Encargado. De acuerdo con el artículo 4.10 del RGPD, el tercero es una "persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado".

Por tanto, la respuesta a la primera pregunta es negativa, salvo algunas excepciones; y la respuesta a la segunda es afirmativa.

¿El Encargado del Tratamiento es un Destinatario? ¿Y un familiar de un paciente o de un empleado? 

"Destinatario" es un término más amplio que "'tercero". En el sentido del artículo 4.9 del RGPD, se entiende por destinatario "la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero".

Este destinatario puede ser una persona ajena al Responsable o al Encargado (un tercero) o alguien dependiente del Responsable o del Encargado, como un empleado u otra división dentro de la misma empresa o autoridad.

La distinción entre destinatarios y terceros es importante por las condiciones para la divulgación legal de datos. Los empleados del Responsable o del Encargado pueden ser destinatarios de datos personales sin necesidad legal adicional, siempre y cuando estén involucrados en las operaciones de tratamiento. Si bien, para un tercero, al estar separado del Responsable o Encargado, no está autorizado a utilizar los datos personales, a menos que sea por razones legales en un caso específico.

Por tanto, ningún tercero puede llegar a ser considerado destinatario sin bases legales adicionales (pe. consentimiento del interesado). Así pues, la respuesta a la primera pregunta es afirmativa, salvo algunas excepciones; y la respuesta a la segunda es negativa.

Fecha de actualización
03/05/2019