Las UTE y la protección de datos

Las UTE y la protección de datos

En este post, Business Adapter protección de datos dará su visión sobre las obligaciones que tiene una UTE de cumplir la Ley de protección de datos.

Dadas las peculiaridades de las UTE (tiene CIF pero no personalidad jurídica propia), provocan gran confusión sobre lo que debe asumir la propia UTE, para cumplir con el RGPD y la LOPD-GDD.

¿Qué es una UTE?

Una UTE se define, según el Artículo 4. 1 de la Ley 18/1982 de 26 de mayo sobre régimen fiscal de agrupaciones y uniones temporales de Empresas y de las Sociedades de desarrollo industrial regional, como las agrupaciones de empresas que se deriven de las distintas modalidades contractuales de colaboración entre empresarios, válidas según las leyes, que sin crear un ente con personalidad jurídica propia sirvan para facilitar o desarrollar en común la actividad empresarial de sus miembros.

Sabemos por tanto, que la UTE se materializa mediante la suscripción de un contrato que agrupa a varias empresas (personas jurídicas) para crear una nueva empresa autónoma, con un único fin y con un tiempo limitado de vida.

Nos introducimos en la normativa de protección de datos

Siguiendo con la línea definitoria anterior, el Artículo 4.7 del RGPD, señala al Responsable del Tratamiento como el sujeto obligado que deberá cumplir con el RGPD y lo define de esta forma:

«Responsable del tratamiento» o «Responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

Es decir, que un Responsable podría ser, cualquier persona jurídica que sola o junto a otros responsables, determine los fines y medios del tratamiento de datos personales.

El RGPD en su Artículo 4.1 y 4.2, define a un dato personal y el significado del tratamiento de estos, de esta forma:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Por tanto, entendemos que un dato personal se considera a cualquier dato que identifique a una persona (e.g. nombre y apellidos) o que la haga identificable (e.g. documento nacional de identidad, teléfono, correo electrónico o imagen) y que un tratamiento de datos personales, es cualquier operación digital o manual realizada sobre estos datos personales (e.g. recopilación de datos, archivo de estos o su utilización con distintos fines).

Ejemplos de UTE actuando como Responsables del Tratamiento

La exposición anterior desvela que una UTE es una agrupación de personas jurídicas, las cuales determinan la necesidad de tratar datos personales, así como los fines y medios para hacerlo. Un buen ejemplo de esta decisión de tratar datos personales sería la necesidad de contratar personal propio para la UTE, lo que implica una recopilación de datos, para realizar las contrataciones laborales, pago de nóminas, vigilancia de la salud, etc.

Cuando una UTE actúa como empresa empleadora, se podría entender que actúa como Responsable, pues la relación contractual con el trabajador recae sobre esta, y la UTE también podría asumir otras obligaciones con sus trabajadores, como por ejemplo, contratar servicios ajenos de prevención de riesgos, entre otros.

Otro ejemplo que mostraría a una UTE actuando en calidad de Responsable, es cuando se crea una página web del proyecto motivo de creación de una UTE. A continuación, mostramos varios ejemplos de una UTE actuando como Responsable, con actividades bien diferenciadas y distinto ámbito territorial:

Parking La Monteñeta (parkingcentroalicante.es)

EI Sanserito – Escuela Infantil (escuelainfantil-sanserito.com)

UTE Terminal Mérida. (terminalmerida.com)

Aún más claro sería el ejemplo que exponemos a continuación, donde se muestra a una UTE actuando como Responsable y debiendo cumplir de forma autónoma con el RGPD y la LOPD-GDD:

Supongamos que dos empresas constituyen una UTE cuya actividad es un Colegio Infantil. Esta actividad profesional exige la designación de un Delegado de Protección de Datos (DPD), según establece el Artículo 34.1 letra b) de la LOPD-GDD.

En el supuesto planteado, vamos a determinar que la actividad de las dos empresas agrupadas no tienen la obligación de designar un DPD, según la base legal anteriormente detallada y la del Artículo 37.1 del RGPD. Por tanto, la obligación de tener un Delegado de protección de Datos recae en la UTE.

Conclusiones

En los tres ejemplos mostrados, es la UTE quien realiza el tratamiento, por tanto debe identificarse como Responsable y por ende, deberá cumplir con los Principios relativos al tratamiento (capítulo II del RGPD), Derechos de los interesados (capítulo III del RGPD) y resto de Obligaciones generales (capítulo IV del RGPD), entre otros posibles.

Cierto es, que una UTE suele estar asistida por las empresas que la han creado y que pueden dar soporte para el cumplimiento de sus obligaciones en materia de protección de datos, pero esto también lo hacen o lo pueden hacer ciertos encargados del tratamiento, pero este hecho no cambia que la UTE pueda actuar como Responsable y por consiguiente, deba implantar en sus procedimientos de actuación todo lo establecido en el RGPD y LOPD-GDD, de forma autónoma.

En definitiva, se han expuesto casos donde la UTE actuaría como Responsable y la necesidad de cumplir con el RGPD y la LOPD-GDD, aunque bien es cierto que dicha necesidad no aplicaría cuando sean las empresas agrupadas creadoras de la UTE, las que asuman el tratamiento de datos personales, por ejemplo, en lugar de que la UTE contrate trabajadores propios, sean las empresas agrupadas las que aporten sus propios trabajadores para el fin de la UTE, o que en lugar de que la UTE contrate a sus propios proveedores, la relación contractual sea entre la empresa proveedora y alguna de las empresas agrupadas y creadoras de la UTE.

Business Adapter concluye por tanto, que será necesario un análisis previo y personalizado, para determinar si una UTE actúa como Responsable y en caso afirmativo, determinar que cuestiones debe asumir en materia de protección de datos personales.

¿Necesitas ayuda?

Business Adapter® puede ayudar a una UTE a cumplir con la Ley de protección de datos. Estudiamos su caso para elaborar todas las medidas técnicas y organizativas necesarias, de modo que se consiga que la UTE cumpla con la normativa de protección de datos (RGPD y la LOPD-GDD)



error: Content is protected !!