Tras la entrada en vigor del nuevo Reglamento, las organizaciones se han planteado el contenido que, en adelante, se deberá incluir en los contratos de acceso a datos por cuenta de terceros. La Agencia Española de Protección de Datos ha querido resolver las dudas más esenciales relativas a la redacción de este documento con la publicación de las directrices para la elaboración de contratos entre responsables y encargados de tratamiento.
En esta publicación nos centraremos en los aspectos relacionados con las medidas de seguridad a aplicar ya que, teniendo en cuenta la naturaleza de un encargo de tratamiento de datos de carácter personal tanto el responsable como el encargado deben garantizar el mismo nivel de protección de los datos exigido por la normativa.
¿Qué se debe establecer en el contrato?
En esencia, el acuerdo debe contener la obligación del encargado de tratamiento de datos personales de adoptar todas las medidas de seguridad necesarias, teniendo en cuenta el artículo 32 del RGPD.
Pero, como acabamos de indicar, no es una carga de obligaciones exclusivamente para el encargado del tratamiento de los datos, sino también para el responsable de los mismos. En este sentido, el responsable del tratamiento deberá realizar una evaluación de riesgos para analizar qué medidas de seguridad serán las más adecuadas en aras de lograr una protección óptima de la privacidad de los interesados. A su vez, corresponde al encargado evaluar los riesgos que se puedan derivar el tratamiento de los datos.
Para comprender mejor esta obligación debemos tener en cuenta que, en la gran mayoría de los casos, el encargo no se realiza en las instalaciones del responsable. Esto es, si una empresa responsable de los datos de sus trabajadores externaliza la gestión de nóminas a una asesoría laboral, tanto la primera (responsable del tratamiento) como la segunda (encargada del mismo) deberán evaluar sus propios riesgos. De nada sirve que los expedientes de los trabajadores se guarden en la empresa bajo llave si la asesoría deja la información encima de la mesa.
¿Cómo establecer las medidas de seguridad en el contrato?
La Agencia Española de Protección de Datos declara que la determinación de las medidas de seguridad concretas puede realizarse a través de una lista exhaustiva de las mismas o de la remisión a un estándar o marco nacional o internacional reconocido.
El nuevo Reglamento europeo (RGPD) establece en el primer apartado del artículo 32 que, para garantizar un nivel de seguridad adecuado al riesgo, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
Lejos de generalizar, se exige un análisis personalizado y exhaustivo de cada tratamiento y propone, entre otros: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento así como la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
En conclusión, se aprecia una vez más la intención del nuevo Reglamento en armonizar un sistema de protección de datos personales que se base en una evaluación previa de todos los riesgos inherentes a cada tratamiento teniendo en cuenta las características de cada uno de ellos. Se evita, de esta manera, recurrir a sistemas de protección de datos con catálogos rígidos y cerrados que impiden concretar las necesidades y terminan perdiendo eficacia.
