En el presente artículo vamos a tratar, aparte de las cuestiones señaladas, la reciente sanción de la AEPD (Procedimiento Nº PS/00315/2020) a una entidad por incumplimiento de sus obligaciones en calidad de encargado de tratamiento, la cual asciende a un total de 100.000€.
En primer lugar, y como ya hemos venido comentando en diferentes artículos del Blog (ver aquí y ver aquí), la regulación de las obligaciones de la figura del encargado de tratamiento viene recogida en el artículo 28 Y 29 del Reglamento Europeo de Protección Datos (RGPD), así como en artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
En la resolución objeto del presente artículo, la empresa reclamante perteneciente al sector hotelero interpone reclamación ante la Agencia Española de Protección de Datos (AEPD), por supuesto incumplimiento de las obligaciones de su empresa encargada del tratamiento de los sistemas informáticos (la reclamada) alegando la reclamante que dicha entidad se apropió indebidamente de sus equipos informáticos, así como de la información alojada en los mismos.
Concretamente en el supuesto objeto de análisis, la actuación de la empresa reclamada conlleva un incumplimiento de lo dispuesto en el art. 28.3 g) RGPD, que establece como obligación del encargado de tratamiento la supresión de los datos a elección del responsable, o bien devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, suprimiendo las copias existentes, a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
La reclamada, al ostentar la figura de encargada de tratamiento, es quien posee el control de los datos de la reclamante, debiendo cumplir con las tareas y actividades establecidas en el contrato relativas al carácter técnico de las telecomunicaciones, servidores y accesos a sistemas y su almacenamiento.
Concretamente, la empresa reclamante alega que dicho incumplimiento por parte de la entidad reclamada y la negativa de puesta a disposición de los servicios de su propiedad, así como el no proceder a la comunicación a sus propias contraseñas para poder acceder a su documentación, les está provocando graves perjuicios, tales como: la imposibilidad de emisión de pagos certificados y poder cumplir correctamente con sus obligaciones (retrasos en la elaboración y presentación de impuestos, imposibilidad de llevar a cabo análisis de negocio y falta de soporte digital para temas de contabilidad), entre otros.
Por su parte, la empresa reclamada alega que ellos procedieron a la comunicación con la reclamante en el plazo establecido con el fin de cumplir con la normativa en Protección de Datos, instándoles a que adquiriesen un disco duro con una memoria mínima de 5terabytes acudiendo a sus oficinas, momento en el cual procederían a facilitar a la entidad reclamante responsable de tratamiento, un nombre y contraseña, procediendo posteriormente la entidad reclamada a la eliminación de dichos datos. Cabe señalar que el disco duro fue entregado correctamente, siendo imposible el acceso a la información contenida en él, al estar cifrada sin posibilidad de acceder a la información al no haberse dado ninguna indicación por parte de la reclamada a tal efecto.
A través de dicha clave de administrador, se permite todo tipo de cambios en los equipos del responsable, tales como la instalación de aplicaciones, cambiar las configuraciones internas, crear, borrar, bloquear y editar la asignación de usuarios a determinados complejos hoteleros, gestionar las redes WIFI, habilitar puestos de red y monitorizarla para detectar posibles problemas de seguridad, etcétera.
En términos contractuales entre ambas entidades, se debe indicar que la entidad reclamada llevaba prestando a la reclamante desde hacía más de 7 años los servicios de prevención, mantenimiento y asesoramiento de equipos informáticos en el entorno de las telecomunicaciones, incluyendo la solución de problemas de acceso a la red de los dispositivos, acceso en remoto a los correos corporativos, así como realización y custodia de las copias de seguridad del responsable. Además, en la cláusula contractual relativa a la protección de datos, se indica igualmente que el encargado de tratamiento se abstendrá de alterar los datos del responsable, así como “devolver al cliente, una vez concluida la prestación del servicio objeto del presente contrato, todos los documentos y archivos en los que se hallan reflejados todos o algunos de los datos cualquiera que sea su soporte o formato, así como sus copias”.
Por todo ello, la AEPD determina, de conformidad con el art. 83.4 RGPD, el incumplimiento de las obligaciones recogidas en el precepto arriba indicado (art. 28.3 g) RGPD). Dicho artículo expone que “El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado: g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros”.
En el supuesto analizado en modo alguno se finalizó con la entrega de los datos que titularidad de la reclamante, no se acredita haberse hecho efectiva, ya que nunca se facilitó finalmente la totalidad de los datos a pesar del tiempo transcurrido. Dicho incumplimiento podría conllevar una multa administrativa de hasta 10 millones de euros como máximo o, en caso de tratarse de una empresa, una sanción cuya cuantía fuese equivalente al 2% como máximo del volumen del negocio total anual. Finalmente, la AEPD tuvo en consideración lo establecido en el art. 76 LOPDGDD, con el fin de establecer una cuantificación y valoración correctamente de la sanción.
A modo de conclusión, debemos indicar que, tal y como hemos podido comprobar en el presente artículo, es de vital importancia por parte del responsable del tratamiento la elección de un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia “Due Diligence” en la elección del encargado.
Para ello y en cumplimiento del principio de responsabilidad proactiva, una forma de demostrar el cumplimiento de estas garantías por parte del responsable es comprobar que dicho encargado está adherido a códigos de conducta o certificación. Si no disponemos de estos mecanismos recomendamos que antes de contratar se proceda al envío de un cuestionario sobre el nivel de adaptación al RGPD para encargados de tratamiento y asegurarnos que dicho tratamiento se realizará con todas las garantías adecuadas de protección y seguridad.
De igual modo, también debemos recordar que los contratos de encargo formalizados antes de la plena aplicabilidad del RGPD (25 de mayo de 2018) se deben adaptar para respetar lo establecido en el artículo 28 RGPD. Aunque muchas de las obligaciones derivadas del régimen establecido en el RGPD ya están recogidas en la normativa española, hay que modificar los contratos existentes para que sus cláusulas reflejen todos los contenidos del Reglamento, teniendo en cuenta que las remisiones genéricas al artículo del RGPD que los regula no son válidas. No obstante, de acuerdo con la Disposición transitoria quinta de la LOPDGDD, los contratos y acuerdos de encargo del tratamiento establecidos antes de 25 de mayo de 2018 mantienen su vigencia hasta la fecha de vencimiento señalada en los mismos. Cuando se trate de encargos con duración indefinida, mantendrán la vigencia hasta el 25 de mayo de 2022.