Delimitación funcional entre responsable y encargado del tratamiento en ecosistemas logísticos y tecnológicos complejos

Objeto y relevancia del criterio

Las resoluciones dictadas por la Agencia Española de Protección de Datos en relación con dos empresas del sector de transporte y logística constituyen una referencia especialmente relevante para la interpretación práctica de las figuras de responsable del tratamiento y encargado del tratamiento cuando se produce una mutación funcional de roles entre lo que consta en el contrato y la realidad, máxime en supuestos de modelos de prestación de servicios tecnológicamente integrados.

Los expedientes parten de una situación relativamente sencilla desde la perspectiva de la persona afectada (que contrata la entrega de un paquete, y lo recibe en un buzón o en su domicilio), pero jurídicamente compleja desde el punto de vista de la distribución de responsabilidades entre las distintas empresas que intervienen en el proceso de entrega del paquete contratado.

Una persona contrata la entrega de un paquete, a través de una determinada empresa de transporte (entidad 1) pero, para gestionar dicha entrega, en lugar de transportar el paquete y entregarlo directamente en el domicilio del destinatario, dicha entidad 1 decide contratar con un operador postal independiente (entidad 2) para depositar el paquete en una de las taquillas electrónicas que gestiona dicha entidad (buzones inteligentes situados en los edificios). Y ambas partes pactan que, una vez se deposite el paquete en la taquilla o buzón electrónico, si los usuarios están registrados previamente en la APP de la entidad 2 la entrega se gestione a través de su APP, y en el caso de no estar registrados, será la entidad 2 la que contacte directamente con el destinatario mediante SMS -al número que le ha proporcionado la entidad 1- para informarle de las posibilidades de recogida del paquete.

Se comprobó durante los procedimientos que ambas partes suscribieron un contrato de prestación de servicios de entrega de paquetería en taquillas, por el que se permitía que la empresa de mensajería (entidad 1), depositase los paquetes en estos buzones del operador postal (entidad 2), y sus empleados pudieran hacer consultas para el seguimiento de los envíos a través de dicho sistema. Y cuando un paquete era depositado en los buzones de esta entidad 2, la entidad 1 les comunicaba un número de teléfono a los meros efectos de contactar con el destinatario para facilitar su recogida, comprobándose que en el contrato de servicios suscrito entre las partes constaba la cesión de datos personales limitada al número de pedido y teléfono del destinatario. Para lo cual, ambas entidades realizaron la correspondiente integración tecnológica entre aplicaciones para posibilitar la consulta y cesión de datos. No obstante, durante el procedimiento ante la Agencia se constató que las partes no suscribieron tampoco un contrato de encargo del tratamiento de los datos personales de la entidad 1 (responsable) a la 2 (encargada).

A partir de este supuesto operativo, la Agencia aborda una cuestión central especialmente relevante para los profesionales de privacidad: cómo deben calificarse jurídicamente las relaciones entre entidades cuando existe una externalización operativa de parte de las operaciones de tratamiento que se realizan, y una integración tecnológica de herramientas para la circulación de datos personales entre varios actores que participan funcionalmente en una misma cadena de prestación de servicios.

El interés de estas resoluciones reside precisamente en que no se trata de un supuesto clásico y fácilmente identificable de outsourcing, ni de una simple cesión de datos entre responsables independientes. Por el contrario, el caso presenta características híbridas que podían conducir a distintas interpretaciones jurídicas, dependiendo de la posición funcional de las partes intervinientes en cada una de las operaciones de tratamiento analizadas: relación R-R entre dos responsables independientes, relación R-E entre responsable y encargado del tratamiento, o corresponsabilidad.

La Agencia construye así un análisis sobre cómo debe abordarse la delimitación de roles en ecosistemas tecnológicos y logísticos complejos.

Naturaleza funcional de los conceptos de responsable y encargado

Uno de los principales ejes de ambas resoluciones es la reafirmación de que la condición de responsable o encargado del tratamiento no depende necesariamente de lo que indiquen las partes en el contrato, ni puede deducirse de la mera autonomía empresarial de los operadores implicados, al ser diferentes personas jurídicas pues, en este caso, no se estaba ante sociedades dependientes. Una (el operador postal, entidad 2, que disponía de los buzones) actuaba en ejecución de las instrucciones de la otra (la entidad 1, que era la que tenía la obligación de entregar el paquete al destinatario), ejecutando algunas de sus operaciones de tratamiento. La Agencia recuerda que estos conceptos tienen naturaleza funcional y deben determinarse atendiendo a la realidad material del tratamiento, siendo lo relevante para saber si ambos o solo uno de ellos tiene la condición de responsable del tratamiento el analizar quién determinaba los fines y medios del tratamiento.

Esta afirmación adquiere especial importancia en el caso analizado porque la entidad 2 no actuaba como un proveedor tecnológico pasivo ni como una mera infraestructura neutra. La entidad disponía de infraestructura propia, sistemas tecnológicos propios, actividad empresarial diferenciada e incluso condición de operador postal. Precisamente por ello, el modelo contractual diseñado por las partes configuraba erróneamente a ambas entidades como responsables independientes. Pero se obvió que, en este caso, la entidad 2 no determinaba los fines y medios de las operaciones que le fueron encargadas, sino que seguía las instrucciones de la entidad 1 para facilitar la entrega del paquete que se había depositado en sus buzones.

En consecuencia, se tramitó un procedimiento sancionador contra cada una de las entidades y en ambos la Agencia consideró que la atribución de roles como dos responsables independientes -que fue reflejada en el contrato de prestación de servicios-  no reflejaba adecuadamente la realidad del tratamiento realizado, lo que suponía una vulneración del deber de suscribir contrato de encargo previsto en el artículo 28 del RGPD, responsabilidad que fue reconocida por ambas empresas, que procedieron al pago voluntario de la sanción, dictándose en ambos casos Resolución de terminación del procedimiento por pago voluntario.

La AEPD entiende que la finalidad del tratamiento de datos personales consistía en la entrega de envíos de paquetería de los que la empresa de transporte (entidad 1) era responsable pero el tratamiento estaba dividido, a su vez, en varias operaciones de tratamiento. El responsable del tratamiento era la entidad 1, que decidió sobre la finalidad del tratamiento al contratar con la entidad 2 el servicio de recepción de paquetería, así como sobre los medios del tratamiento, al señalar en el contrato de servicios la forma en la que sus repartidores iban a realizar las entregas de paquetes en las taquillas de la entidad 2, impartiendo instrucciones relacionadas con el tratamiento de datos a dicha empresa.

Por su parte, la entidad 2 trataba los datos personales necesarios para hacer posible la entrega del paquete encomendada a la entidad 1 en las condiciones que se habían fijado por ésta.

Delimitación entre responsable y encargado en ecosistemas integrados

Las resoluciones analizan con detalle qué elementos permiten identificar cuándo una entidad actúa realmente “por cuenta de otro” incluso en contextos tecnológicamente sofisticados.

La Agencia en sus resoluciones presta especial atención a los elementos operativos reales del servicio: quién decide integrar el sistema de taquillas dentro de su red logística, quién define la finalidad principal de entrega, quién remunera el servicio, quién establece instrucciones relativas al tratamiento de datos personales, etc. 

En este punto, adquieren relevancia determinados elementos probatorios identificados durante las actuaciones previas de investigación, particularmente los intercambios internos de instrucciones entre ambas entidades, que la Agencia interpreta como evidencia material de una relación funcional propia del artículo 28 del RGPD.

La AEPD concluye así que la complejidad tecnológica del ecosistema no altera necesariamente la existencia de una relación responsable-encargado cuando una de las entidades actúa funcionalmente subordinada a la finalidad definida por otra.

Este aspecto tiene relevancia para entornos de plataformas digitales, infraestructuras cloud, marketplaces, ecosistemas de inteligencia artificial o servicios tecnológicos integrados en los que las entidades participantes suelen presentar elevados niveles de autonomía técnica y organizativa.

Mutación funcional del encargado y aparición de finalidades propias

La segunda aportación de la doctrina a la que se refieren los informes citados  en ambas resoluciones aparece cuando la Agencia analiza determinados tratamientos posteriores realizados por el operador postal (entidad 2) utilizando datos inicialmente obtenidos en el marco de la operativa de entrega.

En este punto, la AEPD considera que determinadas actuaciones ya no podían considerarse comprendidas dentro de la finalidad inicial definida por la entidad 1 y aprecia la aparición de una finalidad autónoma propia de la entidad 2.

La Agencia entiende así que una misma entidad puede actuar inicialmente como encargada respecto de una operación concreta y convertirse posteriormente en responsable del tratamiento cuando reutiliza los datos para fines propios no amparados por las instrucciones recibidas.

Este razonamiento refleja una concepción dinámica y no estática de los roles previstos en el RGPD.

La delimitación funcional no se realiza de manera abstracta o permanente respecto de toda la relación entre entidades, sino finalidad por finalidad y, dentro de cada una de ellas, operación por operación.

Responsabilidad proactiva y complejidad interpretativa

Otro aspecto de interés en ambas resoluciones es la forma en que la Agencia parece abordar el principio de responsabilidad proactiva en contextos jurídicamente complejos.

Las resoluciones dejan claro que las entidades implicadas no operaban desde una posición de indiferencia total frente al cumplimiento normativo. Por el contrario, existía un contrato celebrado entre las partes, cláusulas de protección de datos, identificación de bases jurídicas, un análisis previo (aunque erróneo) sobre la posición de los intervinientes y una voluntad evidente de estructurar jurídicamente el modelo operativo.

Precisamente por ello, el núcleo del problema identificado por la Agencia no fue la inexistencia absoluta de una arquitectura de cumplimiento, sino la incorrecta calificación funcional de la relación realmente existente entre las entidades y determinadas desviaciones posteriores de finalidad.

Este elemento resulta particularmente relevante desde la perspectiva de accountability.

La lectura conjunta de ambas resoluciones transmite una idea importante para los profesionales de privacidad: aunque puedan existir dificultades para efectuar una correcta delimitación entre las figuras de responsable y encargado en modelos híbridos de prestación de servicios -especialmente cuando confluyen autonomía tecnológica, integración operativa de algunas funcionalidades, y pluralidad de actores- ello no excluye en ningún caso que el responsable y encargado deban actuar con la diligencia exigible para resolver estas delimitaciones de acuerdo con la normativa, instrucciones y doctrina de los órganos competentes en materia de protección de datos personales.

A la fecha de los hechos a los que se refieren estas resoluciones, los responsables ya disponían de dos informes jurídicos de esta Agencia que les hubieran permitido resolver esta situación conforme a derecho. Por tanto, la complejidad técnica del asunto debe y se ha tenido presente en los procedimientos para graduar a la baja la sanción a imponer, pero no exime a las partes de la responsabilidad administrativa que les corresponde por haber consumado una infracción grave tipificada en el artículo 83.4 del RGPD, al incumplir con la obligación de suscribir un contrato de encargo del tratamiento del artículo 28 del RGPD.