Encargados y obligación de diligencia

Tiempo de lectura: 7 minutos

El artículo 24 del RGPD obliga al responsable a estar en disposición de demostrar que los tratamientos son conformes al RGPD. A discreción del responsable deja la aplicación de las oportunas políticas de protección de datos.

La aplicación de la normativa de protección de datos personales va adquiriendo madurez, en los cuatro años que lleva en vigor y más de dos en plena aplicación en toda Europa. Son inductores de ese progreso las consultorías y despachos profesionales, grandes organizaciones y todas las autoridades de control en su vertiente divulgativa. El faro de guía, naturalmente, el Comité Europeo de Protección de Datos, donde tiene cabida el anterior Grupo de Trabajo del Artículo 29, WP29.

Por esa madurez aparecen prácticas o conceptos, frecuentemente de inspiración auditora y, por tanto, culturalmente alineadas con la responsabilidad proactiva (compliance ), principio fundamental del RGPD.

Hay, en esa tendencia irreversible, ventajas e inconvenientes. No importa el tamaño o la criticidad (en cuanto a datos personales) de la organización, hay que aprovechar aquéllas y relativizar éstos. Distinguir dimensiones no es el fuerte ni el objeto del RGPD. Será la propia organización la que decidirá la intensidad con que incorpora la normativa a sus operaciones.

Documentar la diligencia

Cobra fuerza la práctica de documentar los motivos por los que se han escogido los proveedores. Algo común cuando se quiere certificar un sistema de gestión, por ejemplo. Simplemente que, en este caso, nos referimos a los proveedores que tratan datos personales por cuenta del responsable, conocidos como encargados de tratamiento en terminología RGPD. Y, en vez de certificar, se evidenciará el cumplimiento normativo de ese encargado; lo cual, incluye, a su vez, que ese encargado velará por que los otros encargados a quienes recurra (a quienes subcontrate) también cumplirán las exigencias del RGPD y estarán en línea con el contrato de encargo que . Esas exigencias, por cierto, son de tipo formal y de tipo finalista, entendiendo estas últimas las que persiguen un fin, sin especificar los medios. Así, las medidas de seguridad técnicas y organizativas.

En definitiva, se documenta una decisión (elegir un proveedor), que debe revisarse o analizarse, en este caso desde la óptica de protección de datos.

El dilema sería si no se encuentra el proveedor adecuado: optar entre un proveedor que tiene una gran reputación técnica en su campo, pero presenta serias dudas respecto de su cumplimiento en protección de datos, frente a otro muy bien preparado, y lo demuestra, en protección de datos, pero sin buena reputación en la actividad principal. Ciertamente, es mucho más fácil preparase para la protección de datos que adquirir reputación técnica. Pero, la realidad, ahora mismo, muestra una cierta prevalencia del no sabe, no contesta.

Encargados y RGPD

Factor de complejidad son las cadenas de encargo. El encargado (el gestor, las copias de seguridad, la PRL, la valoración profesional por un externo,…) puede contratar a otro (a un sistema de software en la nube). Con ello los datos personales originales viajan a otros servidores, quizá a un país ajeno al Espacio Económico Europeo, con lo cual se entra en el escurridizo ámbito de las transferencias internacionales de datos. No está de más recordar que, en este momento (Octubre 2020), la adecuación Privacy Shield ha sido declarada ilegal por el Tribunal de Justicia de la Unión Europea (Julio 2020) y que el acuerdo de retirada del Reino Unido expira a final de 2020.

De todo ello sigue ostentando la responsabilidad legal el primer contratante (el responsable), por lo que debe cerciorarse, lo mejor posible, de a quién encarga qué.

La diligencia en escoger encargados es un deber explícito del RGPD, en su artículo 28.1. Por ello, el artículo 24 lo abarca de forma genérica.

De forma recíproca, y asumiendo un mercado de libre competencia, las empresas que suelan ser encargadas de tratamiento, deberían aportar argumentos que muestren su cumplimiento de la normativa de protección de datos. Esos argumentos pueden ser verbales (lo menos deseable), relacionados en un simple documento o soportados con documentos de evidencia (certificaciones, formación, auditorías, etc…). Finalmente, la adhesión a un código de conducta (figura que, en la práctica, se iniciará por asociaciones empresariales, de fabricantes, gremios), es un importante factor de cumplimiento previsto en el RGPD.

Conclusiones

RGPD consagra el principio de responsabilidad proactiva. Responsables y encargados deben cumplir y estar en disposición de demostrarlo. En todas sus vertientes.

Junto al Registro de Actividades de Tratamiento, el protocolo de ejercicio de derechos, el registro de incidencias de seguridad, los contratos de encargo, etc…. el responsable o el encargado debe generar, conservar y mantener la documentación (siquiera descriptiva, mejor motivada) adecuada para atender una potencial auditoría o una inspección. Y, entre otros muchos aspectos, eso incluye la selección de proveedores (encargados).

Antonio March | amc@datium.eu
Octubre 2020

Imagen : Piet Van de Wiel — Vught – Países Bajos – Pixabay

ANEXO. Artículos 24 y 28 del RGPD

El artículo 24 se encuentra en el Capítulo IV Responsable del tratamiento y encargado del tratamiento, Sección 1 Obligaciones generales

En la misma sección se encuentra el artículo 28, dedicado al tratamiento. Su apartado 1 prescribe la obligación de diligencia al seleccionar un encargado

Artículo 24 Responsabilidad del responsable del tratamiento

1.Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2.Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

3.La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 28 Encargado del tratamiento

1- Cuando se vaya a realizar un tratamiento por cuenta del responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento yarantice la protección de los derechos del interesado