Entre las novedades que introduce el Nuevo Reglamento Europeo de Protección de Datos, cabe destacar que se establecen expresamente obligaciones al encargado de tratamiento, cuando la LOPD únicamente hacía una breve mención a esta figura.
La AEPD ha publicado una serie de Guías de Trabajo para ayudar a comprender y aplicar el RGPD, entre ellas una en la que se recogen las Directrices para la Elaboración de Contratos entre Responsables y Encargados de Tratamiento. Este documento identifica los puntos clave a tener en cuenta en el momento de establecer la relación entre el responsable y el encargado de tratamiento, las cuestiones que afectan a la relación entre ambos, y orienta en la redacción del documento que regule dicha relación.
A continuación resumimos los puntos clave de esta cuestión, con la información con que contamos actualmente, ya que está previsto que se publiquen otras guías de trabajo, así como un primer borrador de anteproyecto de modificación de la LOPD, que previsiblemente debe estar listo en este mismo mes de marzo, con el objetivo de que el Parlamento haya aprobado la modificación de la Ley en mayo de 2018, fecha en que el reglamento europeo será ya de aplicación directa.
En primer lugar, es fundamental definir que el encargado de tratamiento es aquél que presta un servicio al responsable, y que conlleva el tratamiento de datos personales por cuenta de éste. El encargado puede realizar todos aquéllos tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente y, además, puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. No obstante, en ningún momento puede varias las finalidades y los usos de los datos, y evidentemente no los puede utilizar para sus propias finalidades. Asimismo, las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.
El responsable del tratamiento debe asegurar que el encargado que elija para la prestación del servicio ofrece las garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas. Debe contar con los conocimientos especializados requeridos y proporcionar fiabilidad y recursos acordes con los exigibles. El RGPD prevé que para demostrar estas garantías, el encargado de tratamiento podrá acogerse a Códigos de Conducta o acceder a Sistemas de Certificación.
Los tipos de encargado de tratamiento son tan variados como los tipos de servicios, pudiendo tener como objeto principal el tratamiento de datos personales, como pueden ser los informáticos o el proveedor de servidor remoto, o únicamente como consecuencia de la actividad que presta por cuenta del responsable del tratamiento, como por ejemplo la asesoría laboral.
La guía publicada por la AEPD anexa una serie de clausulas tipo para la redacción del contrato entre el responsable y el encargado de tratamiento, determinando además el contenido mínimo que debe incluir: Las Instrucciones del Responsable del Tratamiento; El Deber de Confidencialidad; Las Medidas de Seguridad; El Régimen de la Subcontratación; Los Derechos de los Interesados; La Colaboración en el cumplimiento de las Obligaciones del Responsable; El Destino de los Datos al finalizar la Prestación; La Colaboración con el Responsable para demostrar el Cumplimiento.
Con todo ello, y una vez definidos los aspectos que se acuerden en la modificación de la Ley, informaremos puntualmente a nuestros clientes, y realizaremos las modificaciones en la documentación que sean pertinentes, en base a las nuevas exigencias.
Verónica G. Doylataguerra
Responsable departamento jurídico Audifarma