Protección de los datos personales de usuarios para los que desarrollamos actividades

Hola Elena: en relación con la consulta planteada, paso a informarte lo siguiente: en línea con las respuestas dadas por mis compañeras de portal Analore y Ruth, cuyos criterios comparto, debo de aludirte a lo referido a este asunto por el Reglamento de Protección de Datos que entró en vigor el día 19 de abril de 2008, el cual viene a completar determinados aspectos de la relación que pudiere existir entre el responsable del fichero y el encargado de tratamiento.
Por consiguiente, la Ley Orgánica de Protección de Datos es aplicable en todas sus vertientes, principalmente, en relación con su artículo 12, el cual establece una serie de obligaciones y deberes para ambas figuras, principalmente, la celebración de un contrato en el que se especifiquen los datos a tratar, la finalidad del tratamiento, las medidas de seguridad a aplicar, la autorización o no para subcontratar servicios y, por ende, el tratamiento de datos personales, la destrucción y/o devolución de los datos una vez concluida la prestación del servicio, etc. El nuevo reglamento lo que viene a realizar es una ampliación y concreción de las obligaciones contempladas en la LOPD, las cuales detallaremos a lo largo del presente.
De otro lado , antes de exponer a exponer las novedades que se han introducido a partir del 19 de abril de 2008, vamos a esbozar la diferencia entre responsable del fichero, encargado de tratamiento y cesión de datos, conceptos diversos pero bastante confusos, que la mayoría de las veces pueden provocar errar en la configuración de la relación a la hora de tratar datos personales.
-El responsable del fichero o tratamiento es la persona jurídica y/o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es el responsable desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo, es el responsable durante toda la “vida” del dato.
-El encargado de tratamiento, al igual que el responsable del fichero, es la persona jurídica y/o física, privada o pública, que trata los datos del responsable del fichero con la finalidad de prestar un determinado servicio a aquel. El nuevo Reglamento de Protección de Datos Personales, en aras a salvaguardar la seguridad, no sólo de los datos sino de los sistemas de información que tratan los mismos, ha pretendido que se engloben dentro del presente concepto aquellas personas que, sin tratar datos personales, prestan un determinado servicio que para su desarrollo efectivo precisan acceder a las instalaciones donde se encuentran los recursos que tratan datos personales.
En consecuencia, el encargado de tratamiento, puede asumir esta figura además de la de responsable del fichero sobre los datos que son recabados y tratados por él mismo.
-La cesión de datos es la actuación por la que dos responsables del fichero deciden traspasarse o tener acceso a los datos de ambos o de uno solo, para finalidades diferentes a lo que es una prestación de servicio. Por ejemplo, comunicarse datos para efectuar una base de datos conjunta sobre potenciales clientes para lanzar una promoción comercial o dos administraciones públicas de distinto rango competencial que deciden acceder o disponer de datos de aquella para una finalidad concreta.

Una vez efectuada la diferenciación entre las diversas figuras y/o actuaciones, comenzaremos a exponer las novedades sobre la actuación del encargado de tratamiento, significando, de entrada,, que las obligaciones contempladas en la Ley Orgánica de Protección de Datos siguen vigentes.
El nuevo reglamento viene a diferenciar lo que es la comunicación de datos —cesión de datos— del encargo o prestación de un servicio, produciéndose la primera “cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede y el afectado.”, con las siguientes novedades:
- La obligación de que el encargado de tratamiento esté adaptado a la normativa de protección de datos para poder tratar datos personales del responsable del fichero. El nuevo reglamento alude a que el responsable del fichero deberá “velar para que el encargado de tratamiento cumpla con las garantías” exigidas por la normativa al efecto. Esto puede significar una restricción a la hora de escoger o contratar el servicio y, por tanto, una restricción a la libertad de empresa. Así mismo, bajo nuestro entender, impone la obligación de que, al menos, se contemple en el contrato de prestación de servicios la presunción de que la empresa que se convierta en encargado de tratamiento, se encuentre adaptada a la normativa de protección de datos, imponiendo la prueba en caso de sanción a dicho prestador de servicios.

La asunción de responsabilidad, por parte del encargado de tratamiento, cuando incumpla las obligaciones y deberes previstos en la normativa de protección de datos, siempre y cuando esté suscrito el contrato por el cual se determinan aquellas.
-El nuevo reglamento explícitamente permite la subcontratación en cascada, es decir, que un determinado servicio junto con los datos necesarios para poder desarrollar aquel puede ser prestado por dos o más entidades, siempre y cuando haya autorización expresa del responsable del fichero y cumpliendo con las exigencias de la normativa al efecto. Así mismo, se exige que el encargado de tratamiento y el subcontratista —segundo, tercero, etc. encargado de tratamiento— suscriban un contrato en los términos fijados por el artículo 12 LOPD.
-La imposición al encargado de tratamiento del bloqueo de los datos que haya tratado por si se produjere alguna responsabilidad derivada de la relación mantenida con el responsable del fichero. Dicho bloqueo cesará cuando se cumpla el plazo de prescripción establecido al efecto para reclamar la responsabilidad que pudiere haberse acaecido. Así mismo, cuando se prevea la devolución de los datos al responsable del fichero, una vez finalizado el servicio contratado, además del bloqueo de los datos por parte del encargado de tratamiento, el responsable del fichero deberá mantener los datos, es decir, conservarlos en deferencia a alguna previsión legal.
-El encargado de tratamiento puede efectuar, en nombre del responsable del fichero, el proceso de atender los derechos reconocidos a los afectados —acceso, cancelación, oposición y rectificación—. No especifica el nuevo reglamento que deba expresarse esta opción por escrito, pero bajo nuestro entender, el mismo debe reflejarse en el consiguiente contrato de prestación de servicio y de encargado de tratamiento.
- Las medidas de seguridad a implantar por parte de las dos figuras intervinientes, distinguiendo dos situaciones, a saber:
-Si el encargado de tratamiento va a tener acceso o tratar los datos del responsable del fichero en los locales de éste, bien físicamente en las instalaciones del responsable, bien vía remota. En este caso, el responsable debe proceder a indicarlo en el Documento de Seguridad y debe dar pautas al personal del encargado de tratamiento para que siga las instrucciones impuestas por el responsable del fichero.
- La situación expuesta al inicio del presente artículo, aquellos encargados de tratamiento que no tienen acceso a la información y/o al tratamiento, pero que por el contrario acceden a las instalaciones donde se encuentra sitos los recursos y/o sistema de información del responsable del fichero. En este caso, debe exigirse la prohibición de acceso a los datos e información y la obligación del deber de secreto sobre aquellos.
Por último, se permite que el encargado de tratamiento posea el Documento de Seguridad y las medidas a implementar y a aplicar cuando la mayor parte del tratamiento de datos la efectúe aquel. Estas medidas están pensadas sobre todo para la actividad que desarrollan los administradores de fincas respecto a comunidades de propietarios, empresas matrices y filiales que disponen del mismo sistema de información, etc. De todas formas, todas estas consideraciones han de ser reflejadas en el consiguiente contrato.
Un cordial saludo y buena suerte.
Rafael Pérez Castillo.
rperezcastillo@gmail.com