Las empresas de mensajería como encargados del tratamiento

Como ya hemos visto, cada vez que se contrate la prestación de unos servicios, habrá que tener en cuenta si se ceden datos personales de nuestros clientes a ese nuevo prestador de servicios. En caso afirmativo estaríamos ante la figura de un encargado del tratamiento con el cual habrá de firmarse el correspondiente contrato responsable – encargado y se deberá evaluar si cumple con las obligaciones necesarias en materia de protección de datos.

En relación con este tema, nos encontramos con la situación de las empresas de mensajería, las cuales, pueden considerar que no tratan datos personales del responsable en base a que no se accede al contenido de las cartas o a que no se guardan los datos indicados en los sobres. Es por ello que procederemos a analizar esta situación, para ver si es así o si serán considerados encargados del tratamiento con todas las de la ley.

Como punto de partida, indicar que no es necesario que se acceda al contenido de las cartas para que exista o no un tratamiento. El hecho de que no se acceda a dicho contenido forma parte de una obligación constitucional, de acuerdo con el artículo 18.3 de la Constitución Española, por lo que no se trataría de un argumento válido para indicar la falta de tratamiento. Claramente, en el momento en el que se contrata un servicio de distribución de mensajería, no se espera que se vaya a realizar en modo alguno el acceso al contenido de las cartas.

Es decir, salvo servicios concretos como el envío de correos con certificación de texto o de burofaxes, este es un aspecto que queda protegido por nuestra propia Constitución y el secreto de las comunicaciones, cuyo quebrantamiento implica la comisión de un delito.

En segundo lugar, teniendo en cuenta lo que se consideran datos personales, de acuerdo con el artículo 4 del RGPD, se trataría de toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente.

Analizando esto, está claro que el dato de la persona de contacto que aparece en los sobres o los paquetes, sería un dato de carácter personal pues se trata de información sobre una persona física identificable cuya identidad puede determinarse mediante el nombre y/o la dirección.

Por si fuera poco, la ley que regula el servicio postal universal, indica que los prestadores de servicios postales no podrán facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones, y además determina la obligación de proteger la información transmitida o almacenada. Esto implica claramente que, además del nombre y la dirección indicados en el sobre, se consideran protegidos los datos relativos a la mera existencia del envío postal y a la identidad del remitente y el destinatario, entre otros, y que el hecho de que no se almacene la información, es decir, que no se haga una lista de los envíos, sino que sea meramente transmitida, quedará recogido también dentro de la protección de los datos personales.

Por tanto, atendiendo a la definición de encargado del tratamiento facilitada por la propia normativa de protección de datos, se estaría actuando como tal en el momento en el que se sigan las indicaciones del responsable que es quién decide sobre el tipo de envío, en que horario se deberá realizar y dónde se debe entregar la correspondencia. Es decir, el prestador del servicio no puede decidir sobre estas cuestiones sino que deberá dar exclusivo cumplimiento a las indicaciones de la empresa que contrata sus servicios.

En definitiva, queda claro que el prestador de servicios de mensajería es encargado pues accede a los datos personales indicados en el sobre, entre otros, y, como ya hemos visto, deberá garantizar, tal y como establece la normativa, que guardará la diligencia debida y que los datos no serán utilizados para otra finalidad. Para llevar esto a cabo, deberán tener firmado el contrato entre responsable y encargado, así como permitir y cooperar para que se evalúe su cumplimiento de la normativa de protección de datos poniendo a disposición de los responsables toda la información necesaria para demostrar el cumplimiento de sus obligaciones.