phone 915 752 750 email aec@aec.es

    Corresponsabilidad

    El Rol de la UTES en materia de Protección de Datos

    27 enero, 2022 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , , , , ,

    Las empresas pueden constituirse a través de distintas formas jurídicas. Una de ellas es formalizando un acuerdo de constitución de Unión Temporal de Empresas (UTE), regulada en la Ley 18/1982, de 26 de mayo, sobre Régimen Fiscal de Agrupaciones y Uniones Temporales de Empresas y sociedades de Desarrollo Industrial Regional. Se trata de una modalidad contractual de colaboración empresarial en el que las sociedades que la componen se unen para conseguir beneficios fiscales, y sobre todo, concurrir a los procedimientos de adjudicación de contratos públicos de mayor relevancia.

    ¿Qué características reúnen las UTEs?

    • Carecen de personalidad jurídica propia.
    • No tienen capacidad para ser titulares de derechos y contraer obligaciones
    • No tienen patrimonio propio sino bienes afectos a una finalidad concreta.
    • Tienen una duración limitada que, normalmente, será la misma que la obra, servicio o proyecto para el que fueron constituidas, y con el límite máximo de 25 años.

    Bajo estas premisas, vamos a ir respondiendo alguna de las preguntas que se nos plantean:

    1. ¿Puede un ente sin personalidad jurídica ser responsable del tratamiento de datos de carácter personal?

    La propia Agencia de Protección de Datos Catalana, comentaba en uno de sus dictámenes (dictamen 4/2018), lo siguiente relativo a una Consulta de un Ayuntamiento, respecto a la figura del “Pacto territorial”:

    “Hemos dicho que el Pacto es un ente sin personalidad jurídica. Por lo tanto, de acuerdo con la LOPD, en la medida en que el Pacto decide sobre la finalidad, el contenido y el uso del tratamiento de los datos de carácter personal, parece que debe ser considerado responsable del fichero o tratamiento, aunque por carecer del requisito de tratarse de una persona física o jurídica, podrían plantearse algunas dudas”. 

    Dudas, que se esfumaban tras acudir al art 5.1.q. del RLOPD, que recogía expresamente la mención a entes sin personalidad jurídica: “Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

    ¿Qué ocurre ahora?

    No se menciona de forma expresa. Si echamos mano de jurisprudencia posterior a la entrada en vigor del RGPD, encontramos la sentencia de la Sala Tercera del TJUE de 9 de julio de 2020 (“VQ contra Land Hessen”), que considera que debe calificarse como responsable del tratamiento a la “Comisión de Peticiones del Parlamento”  a quien considera “Autoridad Pública”, pese a que la Comisión de Peticiones no goza de personalidad jurídica.

    Por tanto, en línea con esta interpretación del TJUE y por seguir una línea continuista con la legislación anterior, podríamos entender que los entes sin personalidad jurídica sí que podrían ser considerados como responsables del tratamiento, o, al menos, sí, en algunos casos.

    1. Entonces, ¿Podría una UTE ser directamente responsable de tratamiento?

    Estudiemos las relaciones que tiene la UTE desde dos ópticas distintas:

    • De cara a sus relaciones externas, y con el fin de identificarse en el tráfico como sujeto diferenciado, una UTE puede tener su propia web para promocionar sus servicios. En estos casos, será la propia UTE la que aparezca en la Política de Privacidad como Responsable de Tratamiento. De esta forma, los terceros pueden identificar a ese grupo de empresas que se han dado a conocer bajo el nombre de una UTE concreta.

    En otras ocasiones, las sociedades integrantes de la UTE no tendrán una web específica como grupo (como ocurre con la UTE AEC-Govertis, por poner un ejemplo de esta casa), pero probablemente si acudimos a las webs de las sociedades que la integran, veremos que, con carácter general, cada una de ellas aparecerá como Responsable del Tratamiento en la Política de Privacidad.

    De tal forma, que, para la UTE, entendida como un “ente en sí mismo”, no será necesario que exista un Registro de Actividad del Tratamiento, sino que serán las sociedades que integren la misma, las que, en su Registro de Actividades del Tratamiento, deban incluir los tratamientos que esa sociedad esté llevando a cabo, entre los cuales por supuesto se habrán de incluir los tratamientos con implicaciones en protección de datos en los que participe a través de esa UTE.

    • De cara a sus relaciones internas, cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que realiza. En este sentido (y, aunque habla de “ficheros”, por ser anterior a la nueva normativa), la Agencia Española de Protección de Datos vino a decir lo siguiente en el documento “Memoria 2000”:

    “En los casos de Grupo de Empresas y de Unión Temporal de Empresas, habrá que tener en cuenta que el grupo como tal carece de personalidad jurídica y que las sociedades integradas en el Grupo conservan su personalidad jurídica propia, por lo que cada una de éstas seguirá siendo responsable de sus ficheros. Las Agrupaciones de Interés Económico al tener personalidad jurídica podrán ser responsables de ficheros.”

    1. ¿Qué roles puede tener la UTE?

    En cuanto a sus relaciones externas, lo habitual es que varias empresas decidan unirse para poder resultar adjudicatarias de licitaciones públicas, y prestar un servicio concreto. Por tanto, si prestan un servicio en el que hay un tratamiento de datos de carácter personal sobre el que la empresa licitante haya decidido sobre los fines y medios del tratamiento, la UTE tendrá el rol de encargada del tratamiento, para ese tratamiento en concreto.

    También podríamos plantearnos que la UTE actuase como subencargado de tratamiento, si el encargado inicial decide recurrir a la UTE para la prestación del servicio.

    En cuanto a sus relaciones internas, ya vimos que cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que lleva a cabo.

    El punto de partida es determinar quien toma las decisiones sobre los fines y los medios empleados, que, en definitiva, es la definición del art.2 del RGPD del concepto Responsable de tratamiento:

    Persona física o jurídica, autoridad pública, servicio u otro organismo, que solo junto con otros, determine los fines y medios del tratamiento.

    Por tanto, tenemos dos opciones en relación al rol de las sociedades que integran la UTE:

    • Responsables del tratamiento: si cada sociedad que integra la UTE determina los fines y los medios del tratamiento, se considerará responsable.
    • Corresponsables del tratamiento: Si todas las sociedades que componen la UTE han determinado conjuntamente los fines y los medios del tratamiento, podemos estar ante corresponsables del tratamiento. Por tanto, las sociedades tendrán que haber suscrito un contrato de corresponsabilidad en el que hayan delimitado el alcance y la responsabilidad de cada sociedad, así como determinar qué sociedades se va a encargar de dar información y atender los ejercicios de derechos del interesado, establecer qué sociedad va a actuar como punto de contacto con la AEPD, cuál de ellas va a comunicar las posibles brechas de seguridad, quien va a gestionar el registro de actividades del tratamiento, etc.
    1. ¿Puede la UTE ser parte demandada en un procedimiento judicial y, por tanto, ser sancionada por la AEPD?

    Sí. Precisamente, debido a la falta de personalidad jurídica que hemos comentado a lo largo del artículo, es muy común alegar esta falta de capacidad en los procesos judiciales. No obstante, la jurisprudencia ha venido asimilando las UTEs a las uniones sin personalidad, a las que se le reconoce esta capacidad en la LEC. La AEPD podría sancionar a una UTE en caso de vulnerar la normativa. Los miembros de la UTE responden solidaria e ilimitadamente frente a terceros.

    Laura Domínguez Vega

    Equipo Govertis

     

    KEEP READING