A menudo es necesario establecer las diferencias existentes entre una cesión de datos y un encargo de tratamiento debido a los desarrollos empresariales existentes que hacen que el límite entre uno y otro sea muy pequeño, pudiendo dar lugar a un incumplimiento de la legalidad vigente y desembocar en una sanción por parte de la Agencia de Protección de Datos (AEPD).
En un encargo de tratamiento al uso, la empresa responsable de los tratamientos de datos suscribe la prestación de un servicio con un tercero por el que éste debe tratar datos personales del responsable única y exclusivamente para la finalidad del servicio contratado por lo que, en todo caso, habría que informar con una clausula genérica a los afectados de este hecho.
Una vez que finalice el servicio contratado, el tercero deberá destruir o devolver los datos a los que haya tenido acceso y cesar en los tratamientos que hubiera llevado a cabo.
Los ejemplos más comunes de encargos de tratamiento son la prestación de un servicio de asesoría laboral, mantenimiento informático o la prevención de riesgos laborales.
Sin embargo, la cosa cambia si se produce una cesión de datos, es decir, cuando el responsable entrega los datos de los afectados al tercero y éste debe incorporarlos a sus bases de datos para realizar un tratamiento independiente, por lo que se convierte en responsable del tratamiento.
En este caso, los afectados deberán prestar el consentimiento ante el responsable del tratamiento para que sus datos sean cedidos al tercero.
Un ejemplo típico de cesión lo encontramos en la mutua de salud, a la que una empresa cede los datos de los trabajadores para realizar los reconocimientos médicos obligatorios por Ley. Los datos de salud que la mutua genera pasarán a formar parte de sus ficheros y se convertiría en la responsable de dichos tratamientos.
Autor: A. Amo