Si la semana pasada, en este mismo blog, analizábamos la comunicación de datos (empleados, clientes etc.) entre las empresas que conforman un mismo grupo empresarial, en esta ocasión, vamos a centrarnos en una práctica más que habitual entre las empresas pertenecientes a un mismo grupo y es la prestación de servicios entre ellas.
En muchas ocasiones, no resulta fácil discernir cuándo estamos ante un encargo de tratamiento, y por tanto en aplicación del artículo 12 de la LOPD, y cuándo ante una comunicación o cesión de datos, artículo 11 de la LOPD.
El artículo 3 d) de la LOPD define al responsable del fichero o tratamiento como «la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento».
Por su parte el artículo 3 g) de la LOPD indica que «el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento».
Por tanto lo descrito en el artículo 3 g), sucederá siempre que la empresa prestataria del servicio no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicio contratado por el responsable del fichero, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá por lo general el consentimiento de los afectados.
En todo caso, le será de aplicación a la empresa o empresas prestatarias de los servicios el régimen establecido en el artículo 12 de la Ley Orgánica 15/1999 y en el Capítulo III del Título II del Reglamento que la desarrolla, caracterizado por las siguientes especialidades:
1. Será preciso que la actuación del encargado del tratamiento se limite a la prestación de los servicios objeto de la contratación.
De no ceñirse a la prestación de servicio detallada contractualmente, estaríamos ante lo descrito en el artículo 20.1 del RDLOP 1720/2007: «se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado«.
2. Respecto a los requisitos formales, el artículo 12.2 de LOPD impone que: «la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas».
3. En relación al periodo de conservación de los datos, el artículo 12.3 establece que «una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento».
A esta regla general, se le podrá aplicar las excepciones detalladas en el RDLOPD 1720/2007:
• Art. 20.3 «(….) el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio (…)».
• Artículo 22.1 «una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento«.
Por último sobre este punto, y a fin de preservar los derechos del encargado frente a posibles responsabilidades derivadas de su actuación, el artículo 22.1 del RDLOPD indica que «el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento«.
4. En lo referente a la posible subcontratación de los servicios prestados, hemos visto que en último inciso del art. 12.2 se dice «(…) ni los comunicará, ni siquiera para su conservación, a otras personas».
Pues bien, el artículo 21 del RDLOPD permite la subcontratación por parte del encargado de tratamiento siempre y cuando el responsable del fichero apodere al encargado para la celebración del segundo contrato en nombre de aquél o cuando se den los requisitos especificados en el apartado 2 del citado precepto:
a. Se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar». Si dicha circunstancia no se hubiera previsto en el contrato, deberá procederse a su modificación posterior, conforme al artículo 22.3.
b. En caso de que en el contrato no conste la identificación de la empresa subcontratista «será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación».
c. El tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
d. El encargado del tratamiento y la empresa subcontratista formalicen el contrato previsto en el artículo 12 de la Ley Orgánica.
5. Por último y en relación a un aspecto muy importante como son las medidas de seguridad, indicar que habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica.
Sobre este último aspecto, nos gustaría destacar la respuesta de la Agencia Española de Protección de datos sobre una de las cuestiones que se plantearon en una de sus sesiones abiertas:
La pregunta era:
¿Es necesario detallar expresamente todas y cada una de las concretas medidas de seguridad a adoptar en un contrato de encargado del tratamiento o es suficiente con indicar únicamente el nivel de medidas de seguridad que el encargado del tratamiento debe cumplir?
La respuesta de la Agencia fue:
La LOPD señala que en el contrato se estipularán las medidas de seguridad (art. 12.3)
El RDLOPD parte de distintas premisas:
La diligencia en la elección del encargado (art. 20.2).
La diferencia desde el punto de vista de la seguridad de distintos tipos de encargado y el deber de fijar políticas específicas (art. 82).
La recogida en el documento de seguridad del encargo (art.88).
La posibilidad de delegar la llevanza del documento en el propio encargado (art. 88).
Como conclusión:
Todos los preceptos apuntan en la misma dirección: no basta con una mera referencia al nivel de medidas a satisfacer, deben definirse las condiciones de seguridad concretas.