domingo, 27 de julio de 2008

Los prestadores de servicios en el nuevo reglamento

El RD 1720/2007 ha introducido importantes novedades en régimen aplicable al encargado del tratamiento. No sólo en el capítulo III de su Título II (arts. 20 a 22), sino a lo largo de su articulado, se incluyen diversas referencias a dicha figura que obligarán a realizar modificaciones a las empresas habituadas al outsourcing.
En primer lugar, el encargado del tratamiento cobra una mayor importancia en relación con el principio de seguridad. Recordemos que en la Directiva 95/46/CE, las previsiones sobre el encargado del tratamiento se incluyen en el art. 17, dedicado a la seguridad de los datos.
Los encargados del tratamiento con acceso a datos deberán aparecer listados en el documento de seguridad, con identificación de los ficheros a los que acceden. Así lo exige el art. 88.5 RLOPD:
“Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.”
El documento de seguridad también contendrá las siguientes menciones:
- Si los ficheros o tratamientos se incorporan o tratan en los sistemas del encargado del tratamiento (art. 88.6 RLOPD).
- Si se produce acceso remoto, habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable (art. 82.1 RLOPD)
Por otro lado, resulta conveniente modificar los modelos de contrato elaborados de acuerdo al art. 12 LOPD para adaptarlos al nuevo reglamento. Les resumo en seis punto aquello que no deberían pasar por alto a la hora de redactar estos contratos:
1. Siempre que los servicios se presten en los locales del responsable del fichero, el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad implementadas por el responsable (art. 82.1 RLOPD). El responsable del fichero podría incluir una cláusula en el contrato de prestación de servicios que permita solicitar la sustitución de personal por incumplimiento de las medidas de seguridad.
2. En el caso de que el tratamiento se desarrolle en los locales del encargado, esta circunstancia deberá constar expresamente en el contrato (art. 88.6).
3. También se aconseja reflejar si el encargado del tratamiento asumirá la atención al ejercicio de los derechos de los interesados, de acuerdo a lo dispuesto en el art.26 RLOPD.
4. Los contratos de prestaciones de servicios de publicidad y prospección comercial habrán de dejar claro quien fija los parámetros de selección para realizar la campaña. Tengan presente que el art. 46.2 RLOPD señala:
“2. En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:
a. Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.
b. Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsable del tratamiento.
c. Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.”

5. Las previsiones en cuanto a la subcontratción o conservación de los datos (arts. 21 y 22 RLOPD) no son nuevas, sino que recogen el criterio fijado por la AEPD en sus informes jurídicos.
6. Por último, el art. 20.2 RLOPD al indicar que “cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”, abre la puerta a que se incluyan en el contrato diversas garantías como la exhibición de los informes de auditoría bienales o el documento de seguridad corporativo que acrediten la diligencia del responsable del fichero.
Por lo que se refiere a los prestadores de servicios sin accesos a datos, ya les sugerí en un post anterior un ejemplo de cláusula acorde al art. 83 RLOPD.

No hay comentarios: