Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Encargados del tratamiento

El 25 de mayo de 2022 se cumplió el plazo de vigencia dispuesto por la Disposición Transitoria Quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales para los contratos de encargado de tratamiento firmados con anterioridad a la entrada en vigor del RGPD, esto es, antes del 24 de mayo de 2018. Hablamos de contratos suscritos de forma indefinida. Durante dicho periodo cualquiera de las partes podía solicitar y exigir a la otra la modificación del contrato a fin de que adaptarlo a los compromisos que exige el artículo 28 del RGPD.

La solución para adaptar los contratos de encargo de tratamiento al RGPD pasaban por suscribir un nuevo contrato, que dejaba el anterior sin efectos, o incorporar una adenda o anexo.

El “encargado de tratamiento” se define como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (artículo 4.8 del RGPD). Algunos ejemplos de encargados de tratamiento son los siguientes: asesorías y gestorías, empresas de mantenimiento informático, prestadores de servicios en la nube, etc.

No confundan el encargo de tratamiento con la cesión de datos personales. En el primer caso el encargado trata datos personales por cuenta del responsable del tratamiento, mientras que en la cesión de datos, el cesionario trata los datos personales cedidos por su cuenta y riesgo.

El RGPD impone al responsable del tratamiento la obligación de elegir únicamente a encargados que ofrezcan garantías suficientes de haber aplicado medidas apropiadas para garantizar la protección de los datos personales y derechos de los interesados. Esta evaluación no puede limitarse al momento de la contratación, sino que se realizará periódicamente, si bien la normativa no dice cada cuanto.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, en el que se establecerá el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos de carácter personal, las categorías de interesados y las obligaciones y derechos de cada una de las partes. El contenido de dicho contrato o acto jurídico se concreta en el artículo 28 apartado 3 del RGPD, al cual me remito para evitar extenderme en detalles.

El encargado no podrá recurrir a otro encargado, al que llamaremos “subencargado” (aunque el RGPD no emplea esta terminología, pues solo habla de “otros encargados”) sin la autorización previa y escrita del responsable del tratamiento. Dicha autorización puede ser general o específica. En el caso de que sea general, el encargado informará al responsable de la incorporación de otro encargado o subencargado, así como su sustitución por otros subencargados, dando al responsable la oportunidad de oponerse a dicho cambios. Si ese otro encargado incumple sus obligaciones, el «encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado» (artículo 28.4 del RGPD). De modo que, la norma opta por la responsabilidad solidaria, cuya justificación reside en la culpa «in eligiendo».

Entre las obligaciones de los encargados de tratamiento se encuentra:

  • Tratar los datos personales de acuerdo a las instrucciones documentadas del responsable.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar su confidencialidad.
  • Tomar todas las medidas técnicas y organizativas necesarias para asegurar la información que trata por cuenta del responsable.
  • Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
  • Asistir al responsable, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes de derechos de los interesados.
  • Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en materia de seguridad del tratamiento, notificación de violaciones o brechas de seguridad y elaboración de evaluaciones de impacto.
  • Poner a disposición del responsable la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
  • Facilitar la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable para asegurar que se han implementado medidas que aseguran la información.
  • Cooperar con la autoridad de control, cuando sea requerido para ello.
  • Suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento y suprimir las copias existentes, a menos que se requiera la conservación de los datos.

Cualquier momento es bueno para evaluar a los encargados de tratamiento con los que se relaciona. Lo idóneo es contar con un protocolo lo más objetivo posible que se pueda activar cada cierto tiempo para comprobar si los encargados son fiables y de fiar. Es útil incorporar como anexo al contrato de encargo, el cuestionario que haya debido responder el encargado para ser evaluado y, en su caso, una relación de las medidas de seguridad que el encargado declare tener implementadas para asegurar la información.

En ocasiones, la contratación de servicios que implican el acceso a datos se realiza con proveedores cloud, que nunca atienden a una petición para rellenar un cuestionario. En tales casos, atenderemos a la información pública del proveedor publicada, generalmente, en su sitio web. Debe asegurarse desde dónde se presta el servicio y a dónde irán los datos personales a los que el encargado tendrá acceso. La contratación de encargados fuera de la Unión Europea tiene sus particularidades. Si está ubicado en un territorio considerado adecuado por la Comisión Europea, trataremos al proveedor como si estuviera establecido en la Unión Europea. En caso contrario, debería firmarse alguna de las cláusulas contractuales tipo que propone la Comisión Europea a tal fin. Siendo honestos, no es nada fácil que las devuelvan firmadas.

Los encargados y subencargados para acreditar frente al responsable del tratamiento que cuentan con garantías consideradas suficientes por la normativa de protección de datos pueden adherirse a los “códigos de conducta” regulados en los artículos 40 y 41 del RGPD, si bien son pocos los aprobados por la AEPD. Pueden ampliar la información sobre los códigos de conducta haciendo clic aquí.

Piense, ahora, si tiene sentido esforzarse como responsable del tratamiento en proteger los datos que trata su organización y, luego, no ser cuidadoso en la selección de los encargados del tratamiento. No olvide que el responsable responde por el encargado frente al titular de los datos.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).