Desde la entrada en vigor de la Ley Orgánica de Protección de Datos, ha proliferado la venta de servicios fraudulentos relacionados con la protección de datos. Esto es lo que la LOPD ha catalogado como prácticas agresivas en la protección de datos.
La ley ha recogido todas estas acciones sancionables dentro de un apartado específico. Entre ellas están:
– Suplantar la identidad de la Agencia Española de Protección de Datos (AEPD) o pretender que se actúa en su nombre o en colaboración con una autoridad de control.
– También es una acción sancionable coaccionar a los destinatarios mediante la referencia a la posible imposición de sanciones.
– Queda prohibido crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas.
– Tampoco se puede asumir el rol de delegado de protección de datos sin haber sido designado expresamente por el responsable del tratamiento de los datos.
El objetivo de este texto, llamado disposición adicional decimosexta, es proteger a los encargados del tratamiento de datos contra la competencia desleal y el fraude.
El contrato de colaboración en el cumplimiento de las obligaciones del responsable
Cuando una empresa designa a un encargado para el tratamiento de datos, debe formalizarse un contrato legal. En el mismo debe quedar reflejada su obligación de cumplir con las disposiciones de la LOPD y el Reglamento General de Protección de Datos (RGPD). Este contrato debe recoger varios elementos.
Aparecen el nombre y DNI del responsable del fichero, así como la empresa a la que representa junto con el domicilio y CIF de la misma.
Aparecen el nombre y DNI del encargado del tratamiento de datos. También el nombre del proveedor al que representa con su respectivo domicilio y CIF.
Las dos partes deben reconocer que poseen capacidad legal suficiente para aceptar el contrato y cumplir con su obligación de representar a sus respectivas empresas. Además, ambos deben manifestar las siguientes conformidades.
Conformidades sobre la protección de datos en cumplimiento al RGPD
– El servicio que se presta. En este caso: tratamiento de los datos.
– Que el encargado tenga acceso a los datos de carácter personal (de clientes, socios, proveedores, etc.) y permiso para su tratamiento cumpliendo con las obligaciones del RGPD.
– Las partes aceptan cumplir con las obligaciones de la normativa comunitaria y nacional sobre protección de datos, adoptando las medidas necesarias para garantizar su seguridad.
– En cumplimiento del RGPD, las partes de forma libre y voluntaria acuerdan regular el acceso y tratamiento de los datos personales de conformidad con las estipulaciones del contrato.
¿Qué puntos son susceptibles de colaboración en este tipo de contratos?
En primer lugar, el tratamiento de los datos personales, los cuales deben aparecer correctamente identificados en el contrato. Debiendo incluirse una descripción de toda la información que el responsable del fichero transfiere al encargado.
La duración para la que se requiere al encargado. Quién debe suprimir o devolver los datos personales al responsable o al nuevo encargado una vez que el contrato finalice.
Las obligaciones del encargado de tratamiento. Este debe usar los datos solo para la finalidad del encargo y según las instrucciones del responsable del fichero. Incluyendo las siguientes actividades (de las cuales debe llevar un registro escrito):
– Las transferencias de datos personales a otros países y organizaciones internacionales.
– Las medidas técnicas y organizativas para garantizar la seguridad de los datos.
– Seudonimización y el cifrado de datos personales.
– La confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
– La restauración de la disponibilidad y acceso a los datos en caso de incidente físico o técnico.
– Los procesos de comprobación, evaluación y valoración regulares sobre la eficacia de las medidas técnicas y organizativas, para garantizar un tratamiento de datos seguro.
– El carácter secreto de los datos, que no deberán comunicarse a terceras personas salvo autorización expresa del responsable en los casos que legalmente proceda.
– Garantizar la formación necesaria en materia de protección de datos.
– La asistencia al responsable del tratamiento en relación al acceso, rectificación, supresión y oposición de los datos, la limitación del tratamiento y portabilidad de los datos.
– Facilitar la información relativa al tratamiento de datos y notificar las violaciones de seguridad.
¿Colaboración o delegación?
Hay que saber diferenciar entre la colaboración con un encargado de tratamiento de datos y la figura del delegado de protección de datos. El delegado no puede realizar tareas de tratamiento ni asumir las funciones de un encargado.
Un encargado, no obstante, puede nombrar a un delegado para que le asista en algunas tareas. Algunas funciones del delegado son informar al encargado sobre las obligaciones del RPGD. Además, supervisa el cumplimiento del RGPD y las políticas del encargado en materia de protección de datos.
El delegado ofrece asesoramiento relativo a la protección de datos y actúa como un punto de contacto de la autoridad de control, cooperando con la misma.
Como recomendación final, siempre que se solicite la colaboración de un encargado de tratamiento debería formalizarse el contrato aquí mencionado. Y si se tiene conocimiento de prácticas agresivas, debe comunicarse de inmediato a la AEPD.