¿ Te has parado a pensar que tu coworking puede tratar datos de carácter personal de los que son responsables las empresas o autónomos que forman parte de tu espacio?
Pongamos que una empresa, en adelante la llamaremos LA EMPRESA se instala en tu espacio de coworking, en adelante COWORKING. Para regular la prestación de servicios que como espacio de coworking ofrecerás a LA EMPRESA, firmáis un contrato. En dicho contrato de prestación de servicios de coworking, hacéis constar que tendrán derecho a usar el COWORKING los trabajadores A y B de la EMPRESA, con nombre, apellidos y DNI ..
Sólo por el hecho de recoger esos datos de carácter personal de los trabajadores de LA EMPRESA “Nombre, apellidos, Dni.. “ en un contrato, el COWORKING está realizando un tratamiento de datos de carácter personal, aunque sean de carácter identificativo básico, de los que es responsable de tratamiento la EMPRESA.
Imaginaos que vuestro coworker es un autónomo sin trabajadores, en adelante lo llamaremos COWORKER, y uno de los servicios que como COWORKING le ofrecéis es atender las llamadas de teléfono que vuestro COWORKER pueda recibir, y le pasáis nota de las llamadas de sus clientes (nombre, apellidos..) o le agendáis visitas de sus clientes. La recogida de datos de carácter personal por el COWORKING de los clientes del COWORKER, supone un nuevo tratamiento de datos de carácter personal, en el que el COWORKING está actuando como encargado de tratamiento del COWORKER.
¿Podría el COWORKING tener algún tipo de responsabilidad a nivel de protección de datos por realizar el tratamiento de dichos datos de carácter personal según el Reglamento General de Protección de Datos? La respuesta es SÍ.
Dejaremos claro en primer lugar,
¿qué es un ENCARGADO DE TRATAMIENTO de datos de carácter personal? Es cualquier persona física o jurídica, que trate datos de carácter personal en nombre del responsable de tratamiento siguiendo sus instrucciones.
Traducido a un lenguaje que entendamos todos, cualquier persona o empresa que para prestar un servicio a otro autónomo, empresa.. trata datos de carácter personal que son responsabilidad de estos últimos, con la única finalidad de prestar ese servicio en concreto, y siguiendo las instrucciones de quien es realmente el responsable de tratamiento.
Así pues cuando el COWORKING recoge, almacena, comunica.. datos de clientes, trabajadores.. de nuestro COWORKER está actuando como Encargado de Tratamiento.
¿qué tendrá que hacer el COWORKING para cumplir sus obligaciones como Encargado de Tratamiento?
Al margen de que como Responsable de tratamiento de sus propios clientes, contactos, o trabajadores, el COWORKING debe cumplir con el RGPD (os remitimos a nuestro post en que hablamos de cómo los Coworkings debían adaptarse al RGPD), según el RGPD deberá cumplir con los siguientes requisitos legales:
La relación entre el COWORKER y el COWORKING (siempre en caso de que éste último actúe como encargado de tratamiento) se regulará por un contrato en que se establecerá:
- el objeto, la duración, la naturaleza, y la finalidad del tratamiento de datos de carácter personal.
- El tipo de datos personales ( por ejemplo datos básicos identificativos: nombre, apellido, DNI.. Datos de categoría especial: como huella biométrica) y categorías de interesados: trabajadores, clientes, proveedores..
- Las obligaciones y derechos del responsable de tratamiento ( es decir, vuestro COWORKER)
- Obligaciones del encargado de tratamiento ( es decir, el COWORKING): Entre otras, tratar los datos de carácter personal siguiendo las instrucciones del responsable de tratamiento, garantizar la confidencialidad de las personas autorizadas a tratar los datos, cumplimiento de medidas de seguridad establecidas en el RGPD, no subcontratar sin autorización del responsable de tratamiento, suprimir o devolver los datos de carácter personal al responsable de tratamiento una vez finalidad la prestación de servicios.. o incluso, poner a disposición del responsable de tratamiento toda la información necesaria para demostrar que el COWORKING cumple con el RGPD, llevar un registro de todas las categorías de actividades de tratamiento de datos de carácter personal si procede..
Así pues, os recomendamos que como COWORKING analicéis si realizáis o no un tratamiento de datos de carácter personal de los trabajadores, clientes, contactos, colaboradores.. de vuestros COWORKERS, y si es así, os adaptéis a lo dispuesto en el RGPD, por cuanto como encargados de tratamiento en caso de incumplimiento de la normativa de protección de datos a nivel europeo, y la propia nacional, podrías ser sancionados por la Autoridad de Control competente.