Llámanos 91 431 74 74 info@penaochoagranados.com

Desde el pasado 25 de mayo es de obligada aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 (Reglamento General de Protección de Datos, RGPD), el cual ha cambiado el panorama hasta ahora existente en dicha materia y ha generado, y sigue generando quebraderos de cabeza a la mayoría de los empresarios de este país.

El objeto del presente artículo no es analizar los cambios que ha supuesto para la regulación nacional, sino informar de lo que sucede en la práctica en materia de protección de datos en el mundo de las franquicias.

Antes de nada, es conveniente diferenciar la figura de «responsable de tratamiento» y la de «encargado de tratamiento», a la luz de las definiciones establecidas en el artículo 4 del RGPD.

En el mismo, se informa de que se considerará responsable a «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento».

Respecto a la figura de «encargado de tratamiento», establece que es considerado como tal «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Por otra parte, para entender la aplicación de estos conceptos al ámbito de las franquicias, se debe traer a colación el Informe 0263/2009, de la Agencia Española de Protección de Datos, en la cual, se aclara que las empresas franquiciadas, no son meros encargados de tratamiento respecto a su franquiciador.

Para establecer esto se basa en «la distinta personalidad jurídica de las partes intervinientes, así como el hecho de la absoluta independencia de las mismas en lo que a régimen de personal y clientela se refiere».

Por lo tanto, cada parte (franquiciador y franquiciado), es responsable de los datos que trata, poseyendo cada parte ficheros de datos distintos con finalidades distintas.

Una vez realizadas estas aclaraciones, procedo a informaros sobre los aspectos más relevantes en materia de protección de datos, que he podido percibir en los nuevos contratos que muchos franquiciadores están enviando a sus franquiciados con el objeto (o excusa) de adecuarse al nuevo RGPD:

En primer lugar, ha de destacarse el hecho de que el franquiciador, aprovechando la posición de control que ostenta sobre los franquiciados, les imponga nuevas obligaciones que no les corresponden, de acuerdo al RGPD.

En la práctica, se observa que, a pesar de establecerse en dichos contratos que el franquiciado es responsable de los datos que recaba, el franquiciador obliga al franquiciado a cumplir obligaciones propias de un encargado de tratamiento (reguladas en el artículo 28 del RGPD, en el cual se fijan las obligaciones del encargado de tratamiento que deben figurar en todo contrato de encargado), respecto de los datos cuyo responsable es el franquiciador.

Así por ejemplo, en diferentes contratos que hemos podido constatar, le son impuestas al  franquiciado obligaciones como la de colaborar con el franquiciador en las evaluaciones de impacto que el mismo acomete, o permitir que el franquiciador pueda realizarle al franquiciado auditorías, incluyendo inspecciones. Como ya he adelantado, este tipo de obligaciones son propias de un encargado de tratamiento, y por lo tanto su inclusión está injustificada.

Adicionalmente, ha de hacerse hincapié en la obligación establecida por el franquiciador de utilizar un  determinado software de gestión por parte del franquiciado. En estos casos, cada franquiciado debería exigirle al franquiciador que le firmase un contrato de encargado de tratamiento siguiendo las instrucciones del artículo 28 RGPD.

Por la prestación de este servicio (aunque sea fijado unilateralmente por una de las partes), el franquiciador debe ser considerado encargado de tratamiento respecto a los datos de los que es responsable el franquiciado.

Por regla general, esto no está contemplado en los contratos de franquicia, ya que de esta manera el franquiciador puede eludir las responsabilidades y obligaciones que le corresponderían por ser encargado del citado tratamiento.

Por último, en lo referente a los contratos que cada franquiciado debe firmar con sus clientes (contratos modelo que el franquiciador obliga a cada franquiciado a utilizar), se puede observar cómo en la cláusula referente al consentimiento, se establecen finalidades de tratamiento muy genéricas o ambiguas, lo cual es contrario al principio de limitación de la finalidad regulado en el artículo 5 del RGPD, el cual establece que los datos personales «serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines».

En Peña Ochoa & Granados recomendamos confiar esta tarea a un asesor especializado en protección de datos. Un experto en la materia acostumbrado a tratar con la normativa aplicable es la mejor opción para aclarar cualquier tipo de duda y así, poder evitar posibles problemas en el futuro.

Por Carlos Cuesta
Abogado en Peña Ochoa & Granados, especializado en Protección de Datos, IP/IT

Artículos Relacionados