El RGPD y las plataformas CAE

¿QUIEN  ES QUIEN RESPECTO AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD )Y LA COORDINACIÓN DE ACTIVIDADAES EMPRESARIALES ( CAE)?

Toda persona física tiene derecho a la protección de los datos de carácter personal que la conciernen y este derecho le atribuye la facultad de controlar sus datos.

Todo esto lo regula:

  • La Constitución Española
  • Ley Orgánica de Protección de datos 15/1999 no derogada !!!!
  • Carta de Derechos Fundamentales de la Unión Europea.

RECONOCEN EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

El objetivo principal de la protección de datos es la seguridad en el uso, manipulación y almacenamiento de los datos de carácter personal, esto exige  que todos los datos de carácter personal estén a buen recaudo, que su uso sea el adecuado  y que se informe a la persona o interesado de su uso manipulación y cesión.

A raíz del RGPD nos planteamos en relación a la Coordinación de Actividades Empresariales (CAE), que papel tienen las figuras del nuevo Responsable de tratamiento (antes fichero) y del Encargado del tratamiento de la información.

En los últimos años se ha incrementado por parte de las empresas la externalización de la CAE, que conlleva una gran cantidad de datos de  las contratas que circulan por las diferentes plataformas de coordinación,   esto nos hace plantearnos si esa transferencia de datos es segura, ¿quiénes serán los responsables y encargados de tratamiento?

En la CAE, hay un traspaso de datos desde las contratas, la empresa principal y las plataformas de coordinación, y nos planteamos si la comunicación de los datos laborales de los trabajadores que prestan sus servicios en una contrata a la empresa principal, se ajusta a la LOPD.

La entrega de datos se debe regular a través de un contrato escrito u otra forma que acredite que ha tenido lugar  así como el contenido que indique las obligaciones del encargado de tratamiento, en el contrato se establecerán entre otros aspectos:

– Los datos sólo se tratarán conforme a las instrucciones del responsable del fichero.

– Los datos no se utilizarán con fin distinto al establecido en el contrato.

– Los datos no se comunicarán, ni para conservación,  a otras personas.

– Las medidas de seguridad a implementar.

– La destrucción o devolución de los datos una vez cumplido el contrato.

Quien es el Encargado de Tratamiento (Fichero) según el RGPD: El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales.

En la práctica nos encontramos con diferentes  situaciones donde puede ser difícil identificar cuándo estamos frente a un encargado o a un responsable del tratamiento.

Para facilitar esta distinción, debemos tener en cuenta que corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento tiene que cumplir con las instrucciones de quien le encomienda un determinado servicio.

En todo caso las funciones de cada uno  deben quedar claramente delimitados en el acuerdo que se adopte.

El encargado del tratamiento puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado, pero no puede variar las finalidades y los usos de los datos ni los puede utilizar para sus propias finalidades.

Las decisiones que adopte deben respetar instrucciones dadas por el responsable del tratamiento

El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del encargado.

El responsable de un fichero o tratamiento es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales.

Es obligación de la empresa informar a sus empleados que ha entregado sus datos personales a un tercero para un fin determinado (deber de información), y en este caso no es necesario el consentimiento explicito por parte del trabajador ya que la recopilación de esta información responde a leyes – Ley Prevención Riesgos Laborales, Estatuto de los Trabajadores, Ley sobre Infracciones y Sanciones en el Orden de lo Social, Ley Seguridad Social y Ley General Tributaria, donde se plantean las cuestiones relativas a la responsabilidad solidaria y subsidiaria del principal con respecto a las demandas de los trabajadores de la contrata o subcontrata.

Una empresa, será la responsable de los ficheros que contienen datos relativos a sus empleados y a sus clientes; un autónomo o empresario individual será responsable del tratamiento de los datos personales de sus clientes.

Con todo esto, entendemos que en la CAE, el Responsable de Tratamiento ( Fichero), recae sobre la figura de las contratas que acceden a empresas principales.

Si hay cesión de datos entre contrata y principal, es un caso claro en el que el principal es RESPONSABLE DEL TRATAMIENTO.

No obstante, puesto que se trata de una exigencia legal para evitar responsabilidades, el PRINCIPAL solicita la documentación que la contrata deposita en una plataforma de un tercero, como es UCAE, y ahí surge la duda si las empresas principales asumen el rol de Encargado de Tratamiento de los ficheros.

 

¿Y las plataformas de coordinación?¿en que figura encajan?;según lo  visto , las plataformas de CAE, no serán responsables de fichero, estas asumen el papel de Encargados de tratamiento de la información.