Etiqueta: contrato acceso a datos

Encargado de tratamiento en el Reglamento Europeo

¿Cómo redacto un contrato con el encargado de tratamiento según el Reglamento Europeo de Protección de Datos?

La Agencia Española de Protección de Datos ha publicado hace poco un documento titulado DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO, basado en las novedades del nuevo Reglamento Europeo de Protección de Datos.

Según dicho Reglamento, se entiendo por Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de ficheros, y que conlleva tratamiento de datos personales por cuenta de dicho responsable.

Para distinguir cuándo hablamos de encargado de tratamiento y cuándo de responsable de ficheros, hay que tener en cuenta que el responsable es siempre quien decide sobre la finalidad y los usos de la información, y el encargado quien sigue sus instrucciones. Éste no puede nunca usar los datos para fines propios.

Es importante tener en cuenta que el Reglamento Europeo impone al responsable de ficheros un deber de diligencia en la elección del encargado de tratamiento que le ha de prestar servicios. No se puede elegir cualquier encargado, sino sólo aquel que cumple las medidas de seguridad reglamentarias y demás preceptos del referido reglamento.

Igualmente importante es la formalización de un contrato o acto jurídico entre el responsable y el encargado de tratamiento, que debe estar sujeto a una serie de parámetros.

Veamos cuáles son a continuación:

1º. El contrato debe contener las instrucciones del responsable al encargado del tratamiento: debe quedar totalmente claro en qué consiste el encargo.

2º. Deber de confidencialidad: habrá que definir cómo va a hacer posible el encargado de tratamiento, el secreto sobre el tratamiento de los datos que lleva a cabo, garantizando que su personal lo respetará.

3º. Medidas de seguridad: en el contrato se ha de recoger la obligación del encargado de adoptar todas las medidas de seguridad exigidas por el Reglamento.

4º. Subcontratación: el contrato regulará el régimen de subcontratación en caso de que se produzca.

5º. Derechos de los interesados: se ha de regular de qué manera el encargado de tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición…

6º. Colaboración en el cumplimiento de las obligaciones del responsable: el contrato establecerá la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones sobre medidas de seguridad, notificación de violaciones, comunicación de las mismas a los afectados, realización de evaluaciones de impacto y realización de consultas previas.

7º. Destino de los datos al finalizar la prestación: el contrato establecerá cómo se han de tratar los datos una vez finalizado el encargo, y si por tanto, se destruirán o  se devolverán al responsable.

8º. Colaboración con el responsable para demostrar el cumplimiento: el contrato contendrá la obligación del encargado de poner a disposición del responsable toda la información precisa para demostrar el cumplimiento de las obligaciones reglamentarias.

En los anexos del documento de Directrices del que estamos hablando, se proporcionan modelos de contrato para firmar entre el responsable de tratamiento y el encargado.

Se pueden consultar aquí, pinchando en DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

¿Encargados de tratamiento?


En su informe jurídico nº 360/2013, la Agencia Española de Protección de Datos, se pronuncia sobre si los centros sanitarios privados con los que las Mutuas pactan la prestación de asistencia sanitaria a los trabajadores, son encargados de tratamiento conforme a la LOPD o si por el contrario, son responsables de fichero.

Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, para el tema de las prestaciones sanitarias y recuperadoras, y la asistencia sanitaria, pueden –entre otras cosas- firmar convenios con entidades privadas.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece, por su parte, un régimen específico para el tratamiento y cesión de datos de salud de las historias clínicas, diferenciado del propio de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Según tal régimen especial existirían obligaciones sobre acceso, uso y conservación de historias clínicas, que han de cumplir precisamente esos centros médicos que atenderían a los trabajadores. Por tanto, la Mutua no podría contravenir con sus órdenes estas obligaciones, lo que –como dice la AEPD- hace que no pueda considerarse que exista un encargo de tratamiento.

Se trata de una excepción a lo previsto en la disposición adicional vigésimo sexta del Real Decreto Legislativo 3/2011.

El artículo 12.2 de la LOPD, referido a los supuestos de encargados de tratamiento o acceso a datos por cuenta de terceros, establece que:

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Por tanto, si estamos en un supuesto (como el que comentamos) en el que el responsable de fichero o tratamiento, tiene vedada la posibilidad de dar instrucciones al tercero, no se cumple un requisito fundamental del encargo de tratamiento, y por tanto, el centro sanitario privado es igualmente responsable de fichero y no un mero encargado de tratamiento.

Adaptacion Proteccion de Datos


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

EL SEÑOR DE LOS FICHERILLOS

 

En la Tierra Leotardo, un valiente Responsabledeficherhobbit llamado Rodolfo Blusón, ha decidido cargar con unos pesados ficherillos de datos de carácter personal para conducirlos a la tenebrosa Agencia de Protección de Datos y evitar que caiga en poder del malvado Señor oscuro Inspeccionator.

En un desolado páramo de Nazgules, se detuvo el amigo Rodolfo a recitar estos bellos versos:

Tres ficherillos, tres, para los reyes elfos bajo llave.
Siete para los señores enanos en casas con alarma.
Nueve para los hombres mortales sin contraseñas seguras.
Uno para el «Señor oscuro», sobre copias de seguridad.
en la tierra de Mordor donde se extienden las multas.
Un Ficherillo para gobernarlos a todos. Un Ficherillo para encontrarlos,
un Ficherillo para atraerlos a todos y atarlos en las tinieblas
en la tierra de Mordor donde se extienden las medidas de inseguridad.

– ¿Pero en qué quedamos entonces, a ver, Sr. Blusón? ¿Un ficherillo? ¿Tres? ¿Siete? ¿Nueve? ¿O veintitrés? Cuando usted se aclare, vuelva, y traígame rellenos los impresos, por favor, que ya se lo he dicho un montón de veces. Qué pesao el tío con tanto ficherillo y tanto ficherillo… -dijo Eowynaepd, funcionaria elfa orejuda de la Agencia E-Mediana de Protección de Datos.

En cuanto lo vio salir del edificio de la Agencia, Gólum-600.000 le lanzó a Blusón una Resolución de la Agencia de Protección de Datos en la que multaban a uno que no se aclaraba con lo de los ficherillos.

Gólum-600.000 es un desgraciado que está continuamente molestando al portador de los ficherillos y tiene un trastorno ansioso-depresivo porque hace un par de años la Agencia E-Mediana de Protección de Datos le impulso la multa máxima prevista en la normativa ,por no estar adaptado a LOPD. Una jugosa multa de 600.000 euros, sí.

¿Conseguirá al final llevar Blusón los ficherillos a la Agencia E-mediana? Quizá, pero no sabemos si en la primera parte, en la segunda o en la tercera, porque aquí hay para rato…

 

FIN.

 

Epílogo:

Hola, soy Cocolopd, hija de Lopddirecta y me llaman Vanesa Directa, abogada protectora de datos, y hoy os voy a explicar la diferencia entre estar adaptados a la LOPD o no estarlo.

Bromas peliculeras aparte, es cierto que a veces el empresario o profesional que se va a adaptar a la LOPD o está en proceso, se puede sentir como un Hobbit arrastrando la pesada carga de un anillo maldito.

No son pocas las obligaciones que imponen la Ley y, sobre todo, el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por RD 1720/2007, de 21 de diciembre, y en ciertas empresas puede resultar complicado de llevar a la práctica.

Poco puedes hacer ante eso, salvo contar con la orientación de un especialista, y echarle paciencia.

La adaptación no siempre es complicada. Obviamente no es lo mismo cumplir la LOPD para un profesional autónomo sin trabajadores que sólo maneja datos fiscales de sus clientes, que para un Hospital provincial.

En líneas muy generales, esto es lo que vas a tener que hacer en todos los casos:

1º. Notificar los ficheros de datos que manejas ante el Registro de la Agencia de Protección de Datos.

2º. Hacer uso de ciertas clausulas, documentos y contratos para acreditar el cumplimiento de las obligaciones de la LOPD (por ejemplo: clausulas de confidencialidad, de información, contratos de acceso a datos, uso de carteles distintivos del uso de cámaras de videovigilancia, etc…).

3º. Implantar las medidas de seguridad que exige el Reglamento de desarrollo de la LOPD, incluyendo la elaboración y cumplimentación del Documento de Seguridad.

Y es normalmente este tercer apartado el que más problemas causa en la práctica, en lo que respecta a la implantación de medidas de seguridad.

A veces puede ser tan simple como tener contraseñas en los soportes automatizados (PCs, móviles, PDAs…), documentación bajo llave, copias de seguridad, documento de seguridad y poco más, y otras veces la cosa se complica, con exigencias que llegan a la necesidad de etiquetar los soportes o encriptar los datos contenidos en ellos o que son comunicados, por mencionar algunos ejemplos.

Todo dependerá del tipo de datos que tengas, de las dimensiones de tu empresa, de tu equipamiento informático, tus redes, de tu actividad, número de empleados, etc…

Cada negocio puede presentar sus particularidades en materia de adaptación a la LOPD, por lo que si no estás en uno de los supuestos “sencillos” es muy recomendable que te asesores a través de algún profesional.