Encargado de tratamiento en el Reglamento Europeo

¿Cómo redacto un contrato con el encargado de tratamiento según el Reglamento Europeo de Protección de Datos?

La Agencia Española de Protección de Datos ha publicado hace poco un documento titulado DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO, basado en las novedades del nuevo Reglamento Europeo de Protección de Datos.

Según dicho Reglamento, se entiendo por Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de ficheros, y que conlleva tratamiento de datos personales por cuenta de dicho responsable.

Para distinguir cuándo hablamos de encargado de tratamiento y cuándo de responsable de ficheros, hay que tener en cuenta que el responsable es siempre quien decide sobre la finalidad y los usos de la información, y el encargado quien sigue sus instrucciones. Éste no puede nunca usar los datos para fines propios.

Es importante tener en cuenta que el Reglamento Europeo impone al responsable de ficheros un deber de diligencia en la elección del encargado de tratamiento que le ha de prestar servicios. No se puede elegir cualquier encargado, sino sólo aquel que cumple las medidas de seguridad reglamentarias y demás preceptos del referido reglamento.

Igualmente importante es la formalización de un contrato o acto jurídico entre el responsable y el encargado de tratamiento, que debe estar sujeto a una serie de parámetros.

Veamos cuáles son a continuación:

1º. El contrato debe contener las instrucciones del responsable al encargado del tratamiento: debe quedar totalmente claro en qué consiste el encargo.

2º. Deber de confidencialidad: habrá que definir cómo va a hacer posible el encargado de tratamiento, el secreto sobre el tratamiento de los datos que lleva a cabo, garantizando que su personal lo respetará.

3º. Medidas de seguridad: en el contrato se ha de recoger la obligación del encargado de adoptar todas las medidas de seguridad exigidas por el Reglamento.

4º. Subcontratación: el contrato regulará el régimen de subcontratación en caso de que se produzca.

5º. Derechos de los interesados: se ha de regular de qué manera el encargado de tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición…

6º. Colaboración en el cumplimiento de las obligaciones del responsable: el contrato establecerá la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones sobre medidas de seguridad, notificación de violaciones, comunicación de las mismas a los afectados, realización de evaluaciones de impacto y realización de consultas previas.

7º. Destino de los datos al finalizar la prestación: el contrato establecerá cómo se han de tratar los datos una vez finalizado el encargo, y si por tanto, se destruirán o  se devolverán al responsable.

8º. Colaboración con el responsable para demostrar el cumplimiento: el contrato contendrá la obligación del encargado de poner a disposición del responsable toda la información precisa para demostrar el cumplimiento de las obligaciones reglamentarias.

En los anexos del documento de Directrices del que estamos hablando, se proporcionan modelos de contrato para firmar entre el responsable de tratamiento y el encargado.

Se pueden consultar aquí, pinchando en DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

¿Encargados de tratamiento?


En su informe jurídico nº 360/2013, la Agencia Española de Protección de Datos, se pronuncia sobre si los centros sanitarios privados con los que las Mutuas pactan la prestación de asistencia sanitaria a los trabajadores, son encargados de tratamiento conforme a la LOPD o si por el contrario, son responsables de fichero.

Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, para el tema de las prestaciones sanitarias y recuperadoras, y la asistencia sanitaria, pueden –entre otras cosas- firmar convenios con entidades privadas.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece, por su parte, un régimen específico para el tratamiento y cesión de datos de salud de las historias clínicas, diferenciado del propio de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Según tal régimen especial existirían obligaciones sobre acceso, uso y conservación de historias clínicas, que han de cumplir precisamente esos centros médicos que atenderían a los trabajadores. Por tanto, la Mutua no podría contravenir con sus órdenes estas obligaciones, lo que –como dice la AEPD- hace que no pueda considerarse que exista un encargo de tratamiento.

Se trata de una excepción a lo previsto en la disposición adicional vigésimo sexta del Real Decreto Legislativo 3/2011.

El artículo 12.2 de la LOPD, referido a los supuestos de encargados de tratamiento o acceso a datos por cuenta de terceros, establece que:

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Por tanto, si estamos en un supuesto (como el que comentamos) en el que el responsable de fichero o tratamiento, tiene vedada la posibilidad de dar instrucciones al tercero, no se cumple un requisito fundamental del encargo de tratamiento, y por tanto, el centro sanitario privado es igualmente responsable de fichero y no un mero encargado de tratamiento.

Consentimiento expreso

Una multa de 15.000 euros es la que se ha impuesto a TELEFÓNICA DE ESPAÑA, SAU, por vulnerar el artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, encontrándose dentro del supuesto de las sanciones graves.

Se trata de la Resolución nº 2673/2013 de la Agencia Española de Protección de Datos, dictada en el procedimiento sancionador nº 316/2013.

El artículo 11.1 de la LOPD establece que:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

A continuación, indica el precepto una serie de excepciones a la obtención de dicho consentimiento.

Los hechos, en resumen, que dan lugar al procedimiento sancionador consisten en que un particular solicitó su exclusión de las guías de abonados, de tal modo que sus datos dejaran de constar publicados en las Páginas Blancas, pero a pesar de lo anterior la publicación se llevó a cabo.

Recuerda la resolución que el consentimiento del interesado –conforme a la previsión del artículo 11.4 LOPD- es revocable en cualquier momento.

En la normativa específica que regula la publicación de datos personales en guías telefónicas y similares, se deja bien claro que para proceder a dicha publicación antes habrá de contarse con el consentimiento expreso del interesado.

Se concluye que la voluntad del interesado no fue respetada, ya que el mismo manifestó su oposición a la publicación.

Además, la misma resolución impone otra multa de 4.000 euros a la empresa HIBU CONNECT, SAU, por infracción del artículo 4.3 LOPD (infracción grave), en su calidad de encargada de tratamiento, ya que era la entidad que se ocupaba de la edición y elaboración de la guía donde figuraron los datos del denunciante.