El encargado de tratamiento de protección de datos personales

Nuevas perspectivas del nuevo reglamento de protección de datos personales

A través del presente artículo pretendemos acercar a los lectores, de forma resumida y gráfica, las principales novedades respecto a la figura del encargado de tratamiento y su relación en materia de protección de datos con el responsable del fichero.

_{Efrén Santos Pascual, Socio y Abogado de ICEF Consultores}

Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas

El nuevo reglamento de protección de datos entra en vigor el 19 de abril de 2008. Por ello, queremos acercar a los lectores a una figura que, tanto bajo el actual desarrollo normativo como en el que se presenta, ha dado interpretaciones y complejidades, tanto de actuación como de adaptación.

Lo primero que queremos destacar es que el nuevo reglamento viene a completar determinados aspectos de la relación que pudiere existir entre el responsable del fichero y el encargado de tratamiento. Por tanto, la LOPD es aplicable en todas sus vertientes, principalmente, en relación con su artículo 12, el cual establece una serie de obligaciones y deberes para ambas figuras, principalmente, la celebración de un contrato en el que se especifiquen los datos a tratar, la finalidad del tratamiento, las medidas de seguridad a aplicar, la autorización o no para subcontratar servicios y, por ende, el tratamiento de datos personales, la destrucción y/o devolución de los datos una vez concluida la prestación del servicio, etc. El nuevo reglamento, como hemos apuntado anteriormente, lo que viene a realizar es una ampliación y concreción de las obligaciones contempladas en la LOPD, las cuales detallaremos a lo largo del presente.

Por otra parte, antes de comenzar a exponer las novedades que se introducen a partir del 19 de abril, reiteraremos la diferencia entre responsable del fichero, encargado de tratamiento y cesión de datos, conceptos diversos pero bastante confusos, que la mayoría de las veces pueden provocar errar en la configuración de la relación a la hora de tratar datos personales.

1. El responsable del fichero o tratamiento es la persona jurídica y/o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es el responsable desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo, es el responsable durante toda la “vida” del dato.

2. El encargado de tratamiento, al igual que el responsable del fichero, es la persona jurídica y/o física, privada o pública, que trata los datos del responsable del fichero con la finalidad de prestar un determinado servicio a aquel. El nuevo reglamento, en aras a salvaguardar la seguridad, no sólo de los datos sino de los sistemas de información que tratan los mismos, ha pretendido que se engloben dentro del presente concepto aquellas personas que, sin tratar datos personales, prestan un determinado servicio que para su desarrollo efectivo precisan acceder a las instalaciones donde se encuentran los recursos que tratan datos personales. Por tanto, el encargado de tratamiento, puede asumir esta figura además de la de responsable del fichero sobre los datos que son recabados y tratados por él mismo.

3. La cesión de datos es la actuación por la que dos responsables del fichero deciden traspasarse o tener acceso a los datos de ambos o de uno solo, para finalidades diferentes a lo que es una prestación de servicio. Por ejemplo, comunicarse datos para efectuar una base de datos conjunta sobre potenciales clientes para lanzar una promoción comercial o dos administraciones públicas de distinto rango competencial que deciden acceder o disponer de datos de aquella para una finalidad concreta. Por lo tanto, se produce o nace una nueva finalidad diferente a la inicial.

Una vez efectuada la diferenciación entre las diversas figuras y/o actuaciones, comenzaremos a exponer las novedades sobre la actuación del encargado de tratamiento, haciendo hincapié, antes de nada, que las obligaciones contempladas en la LOPD siguen vigentes. El nuevo reglamento es claro al diferenciar la comunicación de datos —cesión de datos— del encargo o prestación de un servicio, produciéndose la primera “cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede y el afectado.”

La primera novedad importante, implícita, es la obligación de que el encargado de tratamiento esté adaptado a la normativa de protección de datos para poder tratar datos personales del responsable del fichero. El nuevo reglamento alude a que el responsable del fichero deberá “velar para que el encargado de tratamiento cumpla con las garantías” exigidas por la normativa al efecto. Esto puede significar una restricción a la hora de escoger o contratar el servicio y, por tanto, una restricción a la libertad de empresa. Así mismo, bajo nuestro entender, impone la obligación de que, al menos, se contemple en el contrato de prestación de servicios la presunción de que la empresa que se convierta en encargado de tratamiento, se encuentre adaptada a la normativa de protección de datos, imponiendo la prueba en caso de sanción a dicho prestador de servicios.

La segunda novedad es la asunción de responsabilidad, por parte del encargado de tratamiento, cuando incumpla las obligaciones y deberes previstos en la normativa de protección de datos, siempre y cuando esté suscrito el contrato por el cual se determinan aquellas.

La tercera novedad importante, es que el nuevo reglamento explícitamente permite la subcontratación en cascada, es decir, que un determinado servicio junto con los datos necesarios para poder desarrollar aquel puede ser prestado por dos o más entidades, siempre y cuando haya autorización expresa del responsable del fichero y cumpliendo con las exigencias de la normativa al efecto. Así mismo, se exige que el encargado de tratamiento y el subcontratista —segundo, tercero, etc. encargado de tratamiento— suscriban un contrato en los términos fijados por el artículo 12 LOPD.

La cuarta novedad, es la imposición al encargado de tratamiento del bloqueo de los datos que haya tratado por si se produjere alguna responsabilidad derivada de la relación mantenida con el responsable del fichero. Dicho bloqueo cesará cuando se cumpla el plazo de prescripción establecido al efecto para reclamar la responsabilidad que pudiere haberse acaecido. Así mismo, cuando se prevea la devolución de los datos al responsable del fichero, una vez finalizado el servicio contratado, además del bloqueo de los datos por parte del encargado de tratamiento, el responsable del fichero deberá mantener los datos, es decir, conservarlos en deferencia a alguna previsión legal —por ejemplo, datos laborales: TC1, TC2, etc.—

La quinta novedad, siendo la más importante, es que el encargado de tratamiento puede efectuar, en nombre del responsable del fichero, el proceso de atender los derechos reconocidos a los afectados —acceso, cancelación, oposición y rectificación—. No especifica el nuevo reglamento que deba expresarse esta opción por escrito, pero bajo nuestro entender, el mismo debe reflejarse en el consiguiente contrato de prestación de servicio y de encargado de tratamiento. Está pensado para grupos de empresas o prestaciones de servicios a gran nivel como puede ser los call center. Así mismo, dicho procedimiento, así como la forma de efectuarlo, debería contemplarse tanto en el Documento de Seguridad del responsable del fichero como en el Documento de Seguridad del encargado de tratamiento.

La sexta novedad hace referencia a las medidas de seguridad a implantar por parte de las dos figuras intervinientes, distinguiendo dos situaciones, a saber:

1. Si el encargado de tratamiento va a tener acceso o tratar los datos del responsable del fichero en los locales de éste, bien físicamente en las instalaciones del responsable, bien vía remota. En este caso, el responsable debe proceder a indicarlo en el Documento de Seguridad y debe dar pautas al personal del encargado de tratamiento para que siga las instrucciones impuestas por el responsable del fichero.

2. La situación expuesta al inicio del presente artículo, aquellos encargados de tratamiento que no tienen acceso a la información y/o al tratamiento, pero que por el contrario acceden a las instalaciones donde se encuentra sitos los recursos y/o sistema de información del responsable del fichero. En este caso, debe exigirse la prohibición de acceso a los datos e información y la obligación del deber de secreto sobre aquellos.

Por otra parte, para concluir con las novedades en cuanto a las medidas de seguridad, se permite que el encargado de tratamiento posea el Documento de Seguridad y las medidas a implementar y a aplicar cuando la mayor parte del tratamiento de datos la efectúe aquel. Estas medidas están pensadas sobre todo para la actividad que desarrollan los administradores de fincas respecto a comunidades de propietarios, empresas matrices y filiales que disponen del mismo sistema de información, etc. De todas formas, todas estas consideraciones han de ser reflejadas en el consiguiente contrato.

Para concluir, una vez expuesto con cierto detalle la nueva perspectiva de la figura de encargado de tratamiento, consideramos que las empresas —responsables del fichero— deberían revisar todos y cada uno de los contratos que tienen suscritos para la prestación de servicios —encargados de tratamiento—, valorando cuáles de esas empresas pueden tener acceso a datos personales y/o a los sistemas de información, con la finalidad de reformar, adecuar y/o elaborar contratos de encargado de tratamiento tendentes a evitar, especialmente, responsabilidades por desconocer el uso y las obligaciones a las que se debería someter al prestador de servicios. Dicha actuación es recomendable que la efectúe un abogado especialista en la materia, que pudiere acometerse, a su vez, con la adaptación global de la empresa a la normativa de protección de datos, más teniendo en cuenta, la nueva normativa que impone y aumenta obligaciones y deberes.