Llámanos 91 431 74 74

Desde el pasado 25 de mayo el Reglamento General de Protección de Datos (RGPD) es de obligada aplicación. Esto ha cambiado el panorama hasta ahora existente en dicha materia. Y, sobre todo, ha generado quebraderos de cabeza a la mayoría de los empresarios de este país.

En este artículo no analizaremos los cambios que ha supuesto para la regulación nacional. Sino que buscamos informar de lo que sucede en la práctica, en materia de protección de datos en el mundo de las franquicias.

Protección de datos: Responsable y encargado del tratamiento

Antes de nada, es conveniente diferenciar la figura de «responsable de tratamiento» y la de «encargado de tratamiento». Lo haremos a la luz de las definiciones establecidas en el artículo 4 del RGPD:

Definición de responsable de tratamiento:

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Definición de encargado de tratamiento:

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Aplicación de estos conceptos en el ámbito de las franquicias

Por otra parte, para entender la aplicación de estos conceptos al ámbito de las franquicias, se debe traer a colación el Informe 0263/2009, de la Agencia Española de Protección de Datos. En él, se aclara que las empresas franquiciadas no son meros encargados de tratamiento respecto a su franquiciador. Para establecer esto se basa en «la distinta personalidad jurídica de las partes intervinientes, así como el hecho de la absoluta independencia de las mismas en lo que a régimen de personal y clientela se refiere».

Por lo tanto, cada parte es responsable de los datos que trata, poseyendo cada parte ficheros de datos distintos con finalidades distintas.

Aspectos más relevantes en la protección de datos de franquicias

Una vez realizadas estas aclaraciones, procedo a informaros sobre los aspectos más relevantes en materia de protección de datos. Estos datos son los que hemos podido percibir en los nuevos contratos que muchos franquiciadores están enviando a sus franquiciados con el objeto (o excusa) de adecuarse al nuevo RGPD.

En primer lugar, destacamos el hecho de que el franquiciador impone a sus franquiciados nuevas obligaciones. Se tratan de obligaciones que no les corresponden, de acuerdo al RGPD. Todo ello, aprovechándose de la posición de control que ostenta sobre los franquiciados,

En la práctica, se observa que el franquiciador obliga al franquiciado a cumplir obligaciones propias de un encargado de tratamiento, cuando el responsable es el franquiciador. Y esto ocurre a pesar de establecerse en dichos contratos que el franquiciado es responsable de los datos que recaba. Es más, dichas obligaciones están reguladas en el artículo 28 del RGPD, en el cual se fijan las obligaciones del encargado de tratamiento que deben figurar en todo contrato de encargado.

Así por ejemplo, en diferentes contratos que hemos podido constatar, se impone al franquiciado una serie obligaciones, como la de colaborar con el franquiciador en las evaluaciones de impacto que él mismo acomete. O permitir que el franquiciador pueda realizarle al franquiciado auditorías, incluyendo inspecciones. Como ya he adelantado, este tipo de obligaciones son propias de un encargado de tratamiento y, por lo tanto, su inclusión está injustificada.

Sobre el software de gestión impuesto al franquiciado

Adicionalmente, ha de hacerse hincapié en la obligación establecida por el franquiciador de utilizar un  determinado software de gestión por parte del franquiciado. En estos casos, cada franquiciado debería exigirle al franquiciador que le firmase un contrato de encargado de tratamiento siguiendo las instrucciones del artículo 28 RGPD. Por la prestación de este servicio, el franquiciador debe ser considerado encargado de tratamiento respecto a los datos de los que es responsable el franquiciado. Aunque sea un software fijado unilateralmente por una de las partes.

Generalmente, esto no está contemplado en los contratos de franquicia. Es la forma en que las franquicias eluden las responsabilidades y obligaciones que les corresponderían por ser encargados del citado tratamiento.

Finalmente, obviaremos el hecho de que el franquiciador obliga al franquiciado a utilizar una serie de contratos modelo para este supuesto. Estos contratos que cada franquiciado debe firmar con sus clientes, observamos cómo en la cláusula referente al consentimiento, se establecen finalidades de tratamiento muy genéricas o ambiguas. Esto es contrario al principio de limitación de la finalidad regulado en el artículo 5 del RGPD. En él se establece que los datos personales «serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines».

Conclusión: Busca asesoría experta

En Peña Ochoa & Granados recomendamos confiar esta tarea a un asesor especializado en protección de datos. Un experto en la materia acostumbrado a tratar con la normativa aplicable es la mejor opción para aclarar cualquier tipo de duda. Así, evitaremos posibles problemas en el futuro.