La Agencia Española de Protección de Datos ha publicado un nuevo criterio jurídico mediante el que pretende aclarar cómo debe determinarse la condición de responsable o encargado del tratamiento cuando nos encontramos ante prestaciones de servicios o situaciones complejas. Este análisis se realiza con base en dos resoluciones sancionadoras de la propia autoridad de control relacionadas con servicios de mensajería y paquetería (aunque las conclusiones son extrapolables a otros casos), en las que se produjo “una mutación funcional de roles entre lo que consta en el contrato y la realidad”. Así, ambos supuestos presentan características y casuísticas propias que podrían conducir a distintas interpretaciones jurídicas en función de cuál es la “posición funcional de las partes intervinientes en cada una de las operaciones de tratamiento analizadas”.
En primer lugar, la autoridad de control recuerda que la delimitación entre responsable y encargado del tratamiento tiene carácter funcional y no depende de cómo las partes definan su relación contractual. Así, lo determinante para conocer si una de ellas es responsable del tratamiento es identificar quién establece los fines y los medios del mismo.
En este caso, la Agencia concluyó que la empresa de transporte era quien definía la finalidad del tratamiento (esto es, la entrega de los envíos contratados) y decidía las condiciones esenciales de la prestación del servicio. El operador postal, aunque contaba con infraestructura, tecnología y actividad empresarial propias, trataba los datos siguiendo las instrucciones recibidas para lograr dicha finalidad y entregar el paquete depositado en sus buzones.
Por ello, la AEPD consideró que la relación existente era la propia de responsable y encargado, por lo que la ausencia del contrato previsto en el artículo 28 del RGPD constituía una infracción. Y ello con independencia de que las partes se atribuyeran la condición de responsables independientes y así lo reflejaran en el contrato de prestación de servicios suscrito. Ambas entidades reconocieron los hechos y abonaron voluntariamente las sanciones impuestas.
Asimismo, las resoluciones hacen referencia a las distintas actuaciones que permiten identificar cuándo una entidad actúa por cuenta de otro (incluso en situaciones tecnológicamente complejas). En este sentido, se indica por la AEPD que “la complejidad tecnológica del ecosistema no altera necesariamente la existencia de una relación responsable-encargado cuando una de las entidades actúa funcionalmente subordinada a la finalidad definida por otra. Este aspecto tiene relevancia para entornos de plataformas digitales, infraestructuras cloud, marketplaces, ecosistemas de inteligencia artificial o servicios tecnológicos integrados en los que las entidades participantes suelen presentar elevados niveles de autonomía técnica y organizativa”.
Las resoluciones también subrayan que una misma organización puede desempeñar distintos roles según la finalidad perseguida. Así, una entidad que inicialmente actúa como encargada del tratamiento puede convertirse en responsable cuando utiliza los datos para fines propios no amparados por las instrucciones del responsable original. Ello “refleja una concepción dinámica y no estática de los roles previstos en el RGPD”.
Como conclusión, la autoridad de control advierte de que la complejidad tecnológica o la integración de múltiples actores en una misma cadena de servicios no eximen del cumplimiento de las obligaciones del RGPD. La correcta identificación de los roles siguen siendo elementos esenciales del principio de responsabilidad proactiva. De hecho, en los supuestos analizados, el problema no se debió a la ausencia de contrato o a la “inexistencia absoluta de una arquitectura de cumplimiento”, sino a que las partes intervinientes calificaron erróneamente la relación existente entre ellas.
Así, si bien la complejidad del asunto se tuvo en cuenta para graduar la sanción a imponer, no exime a las partes de la responsabilidad que les corresponde por incumplir la obligación de suscribir un contrato de encargado del tratamiento.
Puede acceder al análisis de la AEPD aquí.

