¿Qué es la evaluación de encargado?

A algunos de vosotros puede que vuestros clientes empresa os hayan enviado una evaluación de encargado del tratamiento en la que os hacen una serie de preguntas sobre cómo tratáis los datos personales que os facilitan. Si no sabéis de que va el tema, no desesperéis y digáis “no, no lo hago”, porque es algo muy sencillo, necesario, útil y que conviene hacer.

Antes de nada, aclarar que no se trata de una evaluación de los servicios que prestamos a nuestros clientes, sino que únicamente está enfocada a la protección de datos.

Como ya hemos visto, el encargado del tratamiento es aquel que trata datos personales por cuenta del responsable del tratamiento.

¿Qué quiere decir esto? Pues que el responsable contrata a una persona para que le preste un servicio. A efectos de la protección de datos, ese prestador de servicios es un encargado del tratamiento ya que los datos que está tratando no son sus propios datos, ni de sus clientes, empleados, solicitantes de información, etcétera, sino que se trata de los datos que pone a su disposición el responsable de los mismos, el cual se los facilita para que pueda desempeñar la prestación del servicio contratado.

Sin embargo, esto no se aplica a cualquier prestador de servicio pues únicamente estaremos hablando de un encargado del tratamiento cuando los datos que el responsable pone a su disposición son datos de carácter personal. Es decir, debe tratarse de información sobre una persona física identificada o identificable, algo que no sucedería si lo que se contrata es la prestación de un servicio de limpieza o de mantenimiento de instalaciones o alojamiento web, entre otros.

Teniendo esto presente y una vez llegado a la conclusión de que se están tratando datos personales, tanto el RGPD como la LOPDGDD, establecen la importancia de que cualquiera que trate datos personales ofrezca garantías suficientes de que aplica medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos exigidos en materia de protección de datos de carácter personal.

En relación con esto, el artículo 5.2 del RGPD exige a los responsables no sólo una responsabilidad proactiva en cuanto al cumplimiento de los principios relativos al tratamiento indicados en el apartado 1 de dicho artículo, sino que estos también deben ser capaces de demostrar que efectivamente se ha cumplido con lo dispuesto en dichos principios.

Y esto no es sólo algo del reglamento europeo sino que además, en la propia legislación española, se refuerza esta responsabilidad activa indicándose en el artículo 28.1 de la LOPDGDD que ambos, responsable y encargado, aplicarán de manera efectiva medidas técnicas y organizativas para garantizar y acreditar que el tratamiento se realiza conforme a la normativa de protección de datos.

Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

Además de lo que hemos visto, se indica en el artículo 28.1 del RGPD que el responsable tiene una responsabilidad proactiva a la hora de elegir un prestador de servicio que trate los datos que se le facilitan de manera diligente ofreciendo así garantías en cuanto a que el servicio que presta se hace conforme a la normativa al cumplirse con la protección de datos.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y otra vez, por si no fuera suficiente, dicha exigencia se reitera en el considerando 81 del RGPD, en el cual se requiere de nuevo que el responsable recurra únicamente a aquellos encargados que ofrezcan garantías suficientes en lo que respecta al tratamiento de los datos que realizan.

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

Por tanto, queda claro que para cumplir con todo lo dispuesto en la normativa de protección de datos, el responsable deberá establecer un procedimiento de evaluación de sus encargados mediante el cual pueda dirimir, e incluso llegar a acreditar en el caso de que fuese necesario, que la elección del prestador de servicios se realizó conforme a la normativa en materia de protección de datos y en consonancia con el principio de responsabilidad proactiva que rige cualquier tratamiento de datos.

Y dirás “pues es un problema del responsable, que se haga él el cuestionario”, pero eso no es del todo así.

De acuerdo con lo establecido en el artículo 28.3.h) del RGPD, el encargado deberá colaborar con el responsable facilitándole toda la información que éste necesite para demostrar el cumplimiento de las obligaciones que se le imponen en materia de protección de datos. El cumplimiento de este precepto normativo entonces se haría efectivo mediante la cumplimentación de la evaluación.

[El encargado] pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Entonces, según todo lo que hemos visto, para dar cumplimiento a las exigencias dispuestas en el RGPD y en la LOPDGDD, los encargados del tratamiento deben cumplir y respetar todas las normas y obligaciones aunque no se trate de sus datos, así como colaborar con los responsables poniendo a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

En definitiva, y como ya hemos visto, el cumplimiento de la normativa en materia de protección de datos es importante pues las sanciones administrativas en caso contrario son de gran envergadura.

Aun así, y de todas maneras, el cumplimiento de la normativa de protección de datos debe hacerse en todo caso, por lo que tampoco es que nos suponga un esfuerzo extra el completar un cuestionario como encargados que, por otro lado, nos están pidiendo nuestros propios clientes.

Responsable, corresponsable y encargado

Unos de los conceptos más básicos que hay que tener claros en protección de datos son los de responsable, corresponsable y encargado.

En primer lugar, el responsable del tratamiento será la persona física o jurídica, de naturaleza pública o privada, que determine los fines y medios del tratamiento. Es decir, es la persona que decide qué datos de carácter personal se van a recabar, qué se va a hacer con ellos, cuanto tiempo se van a conservar o si se van a ceder, entre otras cosas.

En contraposición con esta figura se encuentra la del encargado del tratamiento que es la persona física o jurídica, de naturaleza pública o privada, que trata datos personales por cuenta del responsable del tratamiento.

Por tanto, para diferenciar la figura del responsable de la del encargado, bastará con hacerse una pregunta ¿quién decide para qué y cómo se van a tratar los datos recabados?

Será el responsable en todo momento quien influirá sobre los fines y los medios del tratamiento mientras que el encargado simplemente se limitará a seguir las directrices impuestas por aquel.

En otro orden de ideas, existen situaciones en las que el responsable del tratamiento está claramente delimitado pues puede suceder que tenga una competencia jurídica explícita y bien determinada para poder llevar a cabo el tratamiento. Esto sucederá en casos en los que el responsable deba, por ejemplo, tratar los datos de sus empleados de cara a la realización de las nóminas, o bien tratar los datos de sus proveedores en base a su obligación de facturación.

Por otra parte, en la práctica sucede con frecuencia que el responsable contrata una prestación de servicios a un tercero para realizar alguna de las citadas actividades. Por ejemplo, para hacer esas nóminas de las que acabamos de hablar puede que el responsable delegue dicha realización a una gestoría externa. Esta gestoría, por tanto, será encargada del tratamiento con respecto de los datos de los trabajadores, pues no puede tomar sus propias decisiones sobre cómo utilizar dichos datos sino que los términos de utilización de los datos los determina el responsable.

Teniendo esto presente y en relación con esta figura del encargado del tratamiento, el responsable siempre tendrá que buscar que, aquel proveedor que le preste un servicio para el que tenga que acceder a sus datos, ofrezca garantías suficientes en cuanto al cumplimiento de la normativa de protección de datos y se comprometa a actuar con la diligencia debida. Para ello ambas partes deberán firmar un contrato responsable – encargado.

Aun así esto no es suficiente y deberá también el encargado facilitarle al responsable toda la información que éste le solicite en cuanto a la manera en que realiza el tratamiento de los datos y las medidas técnicas y organizativas implementadas dentro de su organización para llevar a cabo la protección de datos. Dicha comprobación se podrá realizar mediante una solicitud de información a través de un cuestionario al que se deberá adjuntar documentación acreditativa suficiente sin que sea idóneo dar por válido la mera respuesta positiva a todas las cuestiones planteadas en relación con las medidas exigidas por la normativa de protección de datos sin que exista una comprobación de la realidad de las mismas.

Por último, pasando a analizar la figura de la corresponsabilidad, esta supone que se realice un control y determinación de la finalidad del tratamiento conjunto entre ambas partes. Dicho tratamiento conjunto debe ser de carácter real sin que sea determinante el hecho de que exista un contrato en el que se detalle que se está ante una corresponsabilidad cuando, de facto, la determinación de los fines y los medios se lleve a cabo únicamente por una de las partes.

Por tanto, el escenario de la corresponsabilidad supone que dos o más responsables traten datos personales conjuntamente aunque sin necesidad de que tomen decisiones en relación con los objetivos y medios adoptadas al 50 % entre ambos.

Esta situación de corresponsabilidad deberá formalizarse por todas las partes involucradas a través de un acuerdo escrito indicando en el mismo los medios y fines del tratamiento, la colaboración en el análisis de riesgos, la asistencia en procesos de brechas de seguridad y de gestión de derechos, y la determinación de las responsabilidad de cada uno, entre otras cosas, además de ser siempre trasparentes de cara a los titulares de los datos a través de las correspondientes cláusulas de información.

En definitiva, aun así y después de haber delimitado estas tres figuras, en la práctica no todos los casos son claros y puede suceder que no estén bien diferenciadas. Ocurre a veces que el encargado se atribuye el rol de responsable, o que los responsabables quieren que los encargados asuman todas las responsabilidades, o que existan cesionarios que quieren ser tratados como corresponsables, o incluso que un corresponsable prefiera posicionarse contractualmente como encargado para no asumir toda la responsabilidad que entraña la figura de responsable.

Está en manos de cada uno pararse a pensar y colaborar conjuntamente entre las partes intervinientes para determinar qué tipo de tratamiento se está haciendo, quién está decidiendo sobre el mismo, y cómo se está llevando a cabo.

¿Qué es el tratamiento de los datos?

Puede ser que pienses que esto de la protección de datos no va contigo porque tienes una simple papelería de barrio o porque estás creando una startup pequeña y sencilla donde todo se hace a través e internet y no se almacenan datos de nadie. Siento desilusionarte pero seguro que estás equivocado. La protección de datos no tiene nada que ver con que tu empresa sea grande o pequeña o con que almacenes o no datos, sino que tendrá que ver con que hagas cualquier tipo de tratamiento sobre datos personales, y créeme, seguro que lo haces.

Para definir en qué consiste el tratamiento de los datos personales el artículo 4 del RGPD nos da una aproximación en su apartado 2 diciendo lo siguiente:

«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, en primer lugar, para que se considere tratamiento, se tiene que realizar una operación sobre datos personales.

A continuación nos indica el precepto normativo que esta operación sobre los datos personales puede realizarse de manera automatizada, como puede ser empleando un equipo informático, o de manera no automatizada, lo que sería el típico papel de formulario de recogida de datos.

Y por último, nos señala los tipos de operaciones posibles para que se dé dicho tratamiento que son la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

En otras palabras, si recoges datos personales de personas físicas a través de medios como pueden ser un formulario de inscripción, una suscripción a un servicio, un registro de usuario o un albarán de factura, por ejemplo, estarás tratando sus datos personales y, por tanto, deberás poner a su disposición toda la información exigida por la normativa en relación a qué datos suyos vas a tratar, la finalidad para la que recoges dichos datos y el plazo de conservación de los mismos.

¿Qué es un dato de carácter personal?

Para empezar hay que entender qué se consideran datos de carácter personal. Los típicos de nombre y apellidos, DNI o número de teléfono, entre otros, los tenemos claros, pero la lista no se queda aquí. También se considera un dato de carácter personal cosas tales como la dirección IP, la firma o el credo religioso.

Para ayudarnos con todo esto, el Reglamento General de Protección de Datos, nos define lo que son datos personales en su artículo 4 y dice lo siguiente:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona

Si te has quedado igual aún habiéndolo leído, no te preocupes, porque el concepto es tan amplio que es normal tener que darle una segunda vuelta con calma.

En primer lugar, para que sea un dato personal tiene que tratarse de información sobre una persona física. Ahí ya descartamos a las empresas. Por tanto, la razón social de una empresa o su dirección, email o teléfono, no sería un dato de carácter personal.

Y en segundo lugar, se exige que sea información sobre una persona identificada o identificable. “María” es un nombre, pero el nombre “María” no es un dato de carácter personal si no está asociado a una persona.

Queda claro que podemos identificar a una persona mediante datos que conozcamos de la misma, como su nombre, su matrícula, o su edad, pero además se puede identificar a alguien a través de sus características físicas como puede ser una imagen o sus huellas dactilares, por ejemplo.

Por último, no sólo se puede tener acceso a los datos identificativos de una persona, sino que también se puede conocer aquella información que afecta a su esfera privada como pueden ser sus creencias religiosas o su estado de salud. Estos datos que afectan a la esfera privada requieren de una especial protección que limite su tratamiento.

En definitiva, se trata de cualquier tipo de dato que permita determinar tanto la identidad de una persona como sus características físicas, psicológicas, económicas, culturales, raciales o sociales.