El “Encargado del tratamiento” es una figura, que, aunque ya era contemplada en la LOPD (Ley Orgánica 15/1999), ha tomado un verdadero protagonismo con la llegada del nuevo Reglamento de Protección de Datos (RGPD UE 2016/679). Principalmente porque desde la entrada en vigor del RGPD se le exige demostrar que aplica las medidas adecuadas para proteger los datos personales, y porque su relación con el responsable del tratamiento debe regularse mediante un contrato, u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros.

Si nos ceñimos a lo que indica la norma, el RGPD en su artículo cuarto define al encargado del tratamiento de la siguiente forma: “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Que, expresado con un lenguaje más sencillo, es lo que comúnmente conocemos como proveedor, prestador de servicio, o contratista. 

Un proveedor puede ser requerido para realizar actividades cuyo objeto principal sea el tratamiento de datos personales (por ejemplo, una gestoría que tramita las nóminas de una empresa), o bien este tratamiento puede darse sólo como consecuencia de la actividad que presta por cuenta del responsable (por ejemplo, la gestión de un servicio público municipal). De cualquier forma, el encargado siempre debe cumplir con las instrucciones de quien le encomienda el servicio respecto al correcto tratamiento de los datos personales a los que pueda tener acceso durante la prestación del mismo, y esta actividad debe respaldarse de forma contractual.

El reglamento en este punto no deja libertad a las partes, sino que identifica los puntos que debe contemplar el contrato de prestación del servicio, identificando unos contenidos mínimos (RGPD Art. 28.3) que son los siguientes:

  • Objeto
  • Duración
  • Naturaleza
  • Finalidad
  • Tipos de datos personales
  • Categorías de los interesados
  • Obligaciones y derechos del responsable

Con el fin de mejorar el servicio y la relación entre responsable y encargado del tratamiento, este contenido se puede ampliar con la siguiente información:

  • Instrucciones específicas del responsable sobre cuáles son los tratamientos de datos a realizar atendiendo al tipo de servicio prestado y a la forma de prestarlo.
  • Identificación de la fecha y procedimiento de devolución de los datos
  • Identificación del contenido del registro de actividades tratamiento (RAT)
  • Las medidas técnicas y organizativas de seguridad 
  • Compromiso de confidencialidad
  • Identificación de subcontratación si existiera
  • Procedimiento empleado por el encargado del tratamiento para asistir a las solicitudes de ejercicio de los derechos de los interesados
  • Compromiso del encargado para poner a disposición del responsable toda la información que demuestre el cumplimiento del reglamento
  • Procedimiento para la notificación de las violaciones de seguridad de los datos
  • Identificación del responsable de seguridad, o en su caso del delegado de protección de datos tanto del responsable como del encargado del tratamiento.

Para profundizar un poco más en la elaboración del contrato del encargado se puede consultar la  Guia de Directrices de Contratatos que ha elaborado la AEPD, disponible en su página web.

En el momento de escoger un proveedor es recomendable que el responsable del tratamiento se tome su tiempo y analice las garantías que le ofrece el encargado en cuanto a las medidas adoptadas para la protección de los derechos del interesado, y en general para cumplir con el RGPD.

Una forma de demostrar que el encargado está tomando las medidas adecuadas es la adhesión a códigos de conducta o a mecanismos de certificación (RGPD Art 28.5). Si bien éstos no han sido definidos hasta el momento por la comisión europea ni por las autoridades de control, una primera aproximación podría ser la certificación en estándares de seguridad de la información, que al menos evidencian la aplicación de buenas prácticas en la seguridad de los datos de forma genérica. 

Ejemplos de ello pueden ser la declaración de cumplimiento de Amazon, y la de Microsoft, en las cuales se alude a estándares conocidos como ISO 27001, ISO 27017, ISO 27018, SOC1, SOC2, SOC3, PCI-DSS y al uso del Ciclo de Vida de Desarrollo de Seguridad de Microsoft, que incorpora las metodologías de privacidad por diseño y por defecto. Estos proveedores aportan herramientas para que los clientes que a su vez desarrollen servicios sobre estas infraestructuras puedan implementar sus propias medidas de seguridad; entre ellas el cifrado, la detección, analítica y monitorización de amenazas, el descubrimiento de datos personales, o la evaluación de seguridad de las aplicaciones.

No obstante, y reconociendo el gran valor que ello aporta, la información proporcionada por estas grandes entidades no ofrece una total transparencia sobre las medidas de seguridad con las que se operan sus servicios. Si buscamos conocer de forma fehaciente el nivel y las medidas de seguridad con los que realmente se tratan los datos bajo nuestra responsabilidad, la calificación de LEET Security ofrece una herramienta única, puesto que el referencial de controles es público, y de esta forma es posible conocer de forma inequívoca cuales son las medidas asociadas a un nivel determinado (el mostrado en el sello de calificación), y poder decidir de forma informada si son las adecuadas a nuestro análisis de riesgos. La evaluación independiente y los mecanismos de vigilancia asociados hacen de la calificación de LEET Security el modelo ideal para llevar a cabo la supervisión de los proveedores encargados de tratamientos de datos que nos permite demostrar toda la diligencia en el cumplimiento del RGPD.

Si la seguridad de los proveedores es un elemento de preocupación, contacta con nosotros.

All you need is LEET

Suscríbete a nuestras comunicaciones desde este enlace

Puedes seguirnos en twitter.com/leet_security

23 de julio de 2018