en Protección de datos de carácter personal

Cuando un encargado del tratamiento te dice que no trata datos

Autor: Eric Gracia. Abogado Derecho.com

Quienes nos dedicamos profesionalmente a la privacidad frecuentemente nos encontramos con empresas que aún prestando servicios que verdaderamente implican tratar datos personales de terceros, no reconocen hacerlo, principalmente, por puro desconocimiento.

Durante la revisión de contratos para la prestación de servicios de hosting o de realización de copias de seguridad, por poner sólo dos ejemplos, podemos encontrarnos con cláusulas de protección de datos en las que la empresa prestataria del servicio manifiesta que no visualiza o accede a los datos del cliente, por lo que su servicio no implica un tratamiento de datos a los efectos de lo establecido en el artículo 12 de la LOPD.

Nada más lejos de la realidad. Simplemente hay que acudir a la definición de tratamiento de datos que hay en el artículo 5.1.t) del Real Decreto 1720/2007, para darse cuenta de que el concepto de tratamiento de datos abarca infinidad de actividades:

Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Por lo tanto, el simple hecho de grabar o conservar los datos personales ya es un tratamiento de datos, aunque después el prestador de servicios no deba hacer nada más con ellos.

Desde la entrada en vigor del Real Decreto 1720/2007, muchos prestadores de servicios se auto incluyen dentro del concepto de prestadores de servicio sin acceso a datos del artículo 83 de dicha norma, intentando argumentar que no están sujetos a las exigencias que el artículo 12 impone. No obstante, la propia Agencia Española de Protección de Datos ha manifestado que el concepto de prestadores de servicio sin acceso a datos está pensado hace referencia a servicios de limpieza, de mantenimiento de instalaciones eléctricas, etc., es decir, que realmente no tienen ninguna conexión con el tratamiento de datos personales.