Skip to main content

Zabía-Abogados

Artículo elaborado por Alfonso Monge Arribas, abogado de Zabía Abogados: Detectives privados y agencias de detectives: ¿responsables o encargados del tratamiento?

El Reglamento General de Protección de Datos define, en el apartado 8 de su artículo 4, la figura del encargado del tratamiento como “la persona física o jurídica […] que trate datos personales por cuenta del responsable del tratamiento”. Asimismo, dicho cuerpo normativo establece, en su artículo 4.7, que el responsable del tratamiento es “la persona física o jurídica […] que, solo o junto con otros, determine los fines y medios del tratamiento […]”.

La relevancia de esta distinción no se circunscribe únicamente al plano conceptual o teórico, puesto que de ella se deriva la atribución de obligaciones y responsabilidades diferenciadas en materia de protección de datos en función de dicha condición. Así, la correcta identificación del papel desempeñado durante la prestación de los servicios es una cuestión esencial para garantizar el cumplimiento de los principios recogidos en el artículo 5 del RGPD, así como para determinar quién debe asumir las obligaciones materiales y documentales previstas en la normativa de protección de datos.

En el ámbito nacional, en idéntico sentido, el apartado segundo del artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales recoge lo siguiente:

“Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679”.

Esta previsión normativa resulta significativa porque pone de manifiesto que la existencia de un contrato de encargado del tratamiento no determina por sí sola la condición como tal de ninguna de las partes. El legislador ha querido evitar que la mera calificación recogida en el contrato pueda desvirtuar la realidad de las operaciones de tratamiento llevadas a cabo por las partes.

De este modo, parece claro que, en virtud de la normativa transcrita, para determinar quién actúa como responsable o encargado del tratamiento se ha de atender necesariamente a las circunstancias concretas de cada supuesto y a la realidad efectiva de la actividad desarrollada, con independencia de cómo se recoja esta cuestión en los contratos.

Esta interpretación ha sido defendida por la Agencia Española de Protección de Datos en diversos informes. Así, tal y como se recoge en el Informe del Gabinete Jurídico de la AEPD nº 64/2020 en el que se analizan las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado del tratamiento, se declara lo siguiente:

El RGPD “reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a sus actividades reales en lugar de la designación formal de un actor como “responsable” o “encargado” (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una evaluación fáctica también significa que el papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades concretas en un contexto específico…”.

Como se ha expuesto, el RGPD no vincula la condición de responsable o encargado a la naturaleza jurídica de una organización, a su tamaño, a su actividad económica o a su denominación contractual, sino a las decisiones reales que adopta en el marco de la prestación de un servicio. Por ello, una misma entidad puede actuar como responsable en determinados supuestos y como encargado en otros.

En este sentido, la autoridad de control ha reiterado que la delimitación entre responsable y encargado del tratamiento tiene carácter funcional y no depende de cómo las partes definan su relación contractual, de modo que lo determinante para conocer si una de ellas es responsable del tratamiento es identificar quién establece los fines y los medios de este.

Así, se puede concluir que, si se dan los supuestos de hecho regulados en los anteriores artículos transcritos (esto es, si la persona jurídica determina los fines y medios del tratamiento y, actuando en su propio nombre, establece relaciones con los afectados, con independencia de la existencia o no de un contrato de encargado del tratamiento), los prestadores de servicios serán responsables del tratamiento y no encargados.

Ello quiere decir que en el caso de que el prestador de los servicios actúe de manera individual, en su propio nombre, llevando a cabo el tratamiento de los datos de carácter personal conforme a sus propias directrices, determinando los medios que utilizará para el referido tratamiento, así como las finalidades del mismo, será considerado responsable del tratamiento, con independencia de cualquier otra circunstancia.

En caso contrario, cuando un tercero o proveedor actúe por cuenta y en nombre de otro, tratando los datos de carácter personal en virtud de las instrucciones facilitadas por este, sin decidir cómo llevar a cabo dicho tratamiento o sus finalidades, deberá ser considerado encargado del tratamiento.

Por tanto, ateniendo a nuestro supuesto objeto de análisis, la pregunta clave no es si el detective presta un servicio a una empresa o particular (circunstancia que comparte con otros profesionales, por cuanto esto también lo hacen abogados, compañías informáticas, etc.), sino si actúa siguiendo instrucciones documentadas del cliente sobre el tratamiento de los datos o si, por el contrario, dispone de autonomía profesional para decidir cómo obtener la información, qué datos resultan pertinentes, qué métodos de investigación pueden utilizarse, qué información debe documentarse y de qué manera debe conservarse y comunicarse el resultado de la investigación.

La respuesta a esta cuestión exige tener en consideración el régimen jurídico específico establecido por la Ley 5/2014, de Seguridad Privada. Esta norma regula expresamente los servicios de investigación privada, estableciendo una serie de obligaciones que los detectives deben cumplir. Así, impone límites materiales a la investigación, prohíbe expresamente aquellas actuaciones que puedan vulnerar el derecho al honor, la intimidad, la propia imagen, el secreto de las comunicaciones o la protección de datos, y obliga a que la investigación respete los principios de razonabilidad, necesidad, idoneidad y proporcionalidad.

Con base en lo anterior, se puede afirmar que el detective no puede limitarse a ejecutar de manera automática las instrucciones de su cliente, sino que debe realizar una valoración acerca de la licitud de las actuaciones solicitadas, de la existencia de una base legítima que justifique la investigación y de la proporcionalidad de los medios empleados.

Adicionalmente, el artículo 49 de la Ley 5/2014 obliga al detective o agencia a elaborar un informe por cada servicio contratado. Dicho informe debe recoger, entre otros extremos, el objeto de la investigación, los medios utilizados, las actuaciones realizadas, los detectives intervinientes y los resultados obtenidos. La propia norma establece que únicamente podrán incorporarse aquellos datos que guarden una relación directa con el objeto y finalidad de la investigación, excluyendo datos innecesarios o no vinculados al interés legítimo alegado.

Estas obligaciones legales permiten reforzar la idea de que el detective no actúa como un mero ejecutor de las instrucciones del cliente, sino que determina los fines y medios del tratamiento de los datos personales en el transcurso de su trabajo de investigación, actuando de manera independiente de la entidad.

A la vista de lo anterior, el detective o la agencia de detectives es responsable de la investigación privada que lleva a cabo, determinando, dentro del marco legal y deontológico de su profesión, los medios concretos de investigación, la pertinencia de los datos recabados e incorporados al informe y su contenido, la proporcionalidad de las actuaciones, la conservación de la documentación y las comunicaciones legalmente permitidas. En conclusión, el detective desarrolla una actividad profesional regulada con fines y medios propios derivados de la Ley 5/2014.

Desde esta perspectiva, resulta razonable considerar que el detective determina de manera efectiva aspectos esenciales del tratamiento de datos personales realizado durante la investigación. Aunque el cliente define el interés o la necesidad que origina el encargo, es el profesional quien decide cómo desarrollar la investigación dentro de los límites legalmente establecidos, qué información resulta necesaria para alcanzar el objetivo perseguido y qué actuaciones pueden considerarse legítimas y proporcionadas.

Estas circunstancias dificultan notablemente la posibilidad de encajar su actuación dentro de la figura del encargado del tratamiento prevista en el artículo 28 del RGPD. Dicha figura exigiría que el detective tratase datos por cuenta y en nombre del cliente y conforme a sus instrucciones previamente documentadas. No obstante, en una investigación privada real esto presenta diversos problemas:

El cliente carece de facultades para dirigir técnicamente la investigación hasta el extremo de decidir qué seguimientos deben realizarse, qué fuentes de información pueden consultarse, qué imágenes pueden captarse o qué datos concretos deben incorporarse al informe final. Esas decisiones están sujetas a la Ley 5/2014 y forman parte de la esfera de autonomía profesional del detective.

El detective se encuentra sometido a obligaciones legales propias que no dependen de las instrucciones de quien contrata el servicio. En este sentido, debe comprobar el interés legítimo alegado por la compañía que solicita el encargo, respetar la proporcionalidad de las medidas adoptadas para llevar a cabo la investigación, excluir datos que no sean pertinentes o garantizar la conservación adecuada de la documentación.

El detective puede verse obligado a comunicar determinada información a órganos judiciales, autoridades policiales u otros organismos competentes en los supuestos legalmente previstos. Tales comunicaciones responden al cumplimiento de obligaciones legales propias y no dependen de la voluntad ni de las instrucciones del cliente que contrató el servicio.

El informe de investigación está legalmente configurado por el artículo 49 de la Ley 5/2014. Así, no es un simple documento elaborado bajo instrucciones del responsable, sino el resultado de una actividad profesional regulada con una serie de contenidos y obligaciones legalmente determinados.

Habida cuenta de ello, los detectives privados podrían calificarse, por regla general, como responsables del tratamiento y no como encargados, respecto de los tratamientos de datos personales que realizan en el marco de una investigación privada. La autonomía decisoria de la que disponen respecto de aspectos esenciales del tratamiento, las obligaciones legales propias que les impone la normativa sectorial y la capacidad para determinar los medios y fines, así como la pertinencia de la información obtenida, constituyen factores determinantes para atribuirles dicha condición.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido