El pasado 12 de noviembre de 2021, la AEPD archivó en su procedimiento PS/00391/2020 (el “Procedimiento”) una reclamación contra IDCQ HOSPITALES Y SANIDAD, S.L.U. (el “IDCQ”) por la presunta infracción del artículo 28.3.g) del RGPD que regula la relación entre el responsable y el encargado del tratamiento (la “Reclamación”).

Pese a que la Reclamación fue archivada, hemos creído que el Procedimiento resulta interesante por ser extrapolable a escenarios con profesionales que mantienen una relación mercantil con su empresa.

En este caso concreto, la Reclamación fue presentada por un médico (el “Reclamante”) que tras la finalización de su contrato de arrendamiento de servicios con IDCQ (el “Contrato”), este último le bloqueó su acceso al historial de sus pacientes.

El Reclamante mantenía una relación mercantil con IDCQ y el propio Contrato establecía que el Reclamante era el responsable del tratamiento e IDCQ era el encargado del tratamiento. Por lo tanto, según el Reclamante, el bloqueo por parte de IDCQ del historial clínico de sus pacientes tras la extinción del Contrato incumplía el RGPD.

Sin perjuicio de lo anterior, la AEPD acabó archivando la Reclamación. ¿Por qué?

La AEPD explica que (el subrayado y la negrita es nuestra): “Un responsable del tratamiento es un cuerpo que decide ciertos elementos clave del tratamiento (…) Un responsable del tratamiento determina los propósitos y medios del tratamiento, es decir, el por qué y cómo del tratamiento. (…) En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias”.

Tras el análisis del Procedimiento, la AEPD estima que “El reclamante prestaba unos servicios en virtud del cual existe una relación de dependencia, en este caso no laboral, figurando una total relación asistencial entre pacientes y el centro sanitario. (…) Sin los pacientes, los sistemas informáticos y las decisiones sobre implementación de información de la recogida de datos e información sobre derechos a pacientes que llevaba a cabo el reclamado, no hubiera sido posible el tratamiento de los datos”.

La AEPD interpreta que “El que ha articulado los medios técnicos y organizativos (para el tratamiento de los datos personales) ha sido el reclamado, que, por tanto, ostenta la titularidad de las obligaciones impuestas al responsable del tratamiento.”

La AEPD concluye que: “No es posible convertirse en responsable del tratamiento porque el literal del contrato así lo señale, o eludir las obligaciones de responsable del tratamiento simplemente configurando el contrato de una manera determinada cuando las circunstancias de hecho dicen algo más como en este caso”.

Por último, destacar que las Directrices 07/2020 sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, adoptadas el 2 de septiembre de 2020 por el Comité Europeo de Protección de Datos detallan en profundidad los aspectos que caracterizan a ambas figuras.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.