ES|EN

La calificación en la subcontratación de tratamientos de datos personales [ES]

Todos aquellos familiarizados con la protección de datos personales, saben que la subcontratación de servicios no es algo trivial. Y es que las tareas se pueden delegar, pero no así la responsabilidad: La responsabilidad no se puede delegar. Y para los que tuvieran alguna duda, el artículo 20.2 del Reglamento de desarrollo de la LOPD (pdf) no deja lugar a dudas:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

De esta forma, no queda lugar a dudas de que, en caso de subcontratar, el responsable del tratamiento debe realizar una adecuada selección del proveedor para que se garantice el cumplimiento de las medidas de seguridad y no, solamente en el momento de la contratación, sino durante toda la duración de la prestación de servicios.

En este aspecto, la calificación de servicios puede ayudar a esos responsables de tratamientos de diversas maneras:

  • En primer lugar, la calificación del servicio nos ayuda a identificar qué servicios son aptos para ser subcontratados, en función del tipo de datos tratados ya que el esquema de calificación otorgará una 'D' a aquellos servicios aptos para realizar tratamientos de nivel básico, una 'C' para los de nivel medio y una 'B' para los de nivel alto (los que tengan una 'A', obviamente, son aptos para cualquiera de los anteriores).
  • En segundo lugar, para que, durante la duración del servicio podamos comprobar que el servicio prestado sigue siendo apto para el tratamiento realizado, puesto que la calificación tiene una validez de un año y, además, existe procedimientos de vigilancia establecidos por la propia agencia para identificar desviaciones de la calificación en vigor.

En definitiva, la calificación se convierte en otra herramienta más en manos de los responsables de ficheros para cumplir con sus obligaciones en materia de protección de datos de carácter personal.