Economía | Opinión

Igual eres Encargado de Tratamiento de Datos y ni lo sabes

¿Tienes una gestoría? ¿O quizás tu empresa se dedique al marketing digital? Si tu negocio es uno de estos dos, no te libras. Tampoco si os dedicáis a suministrar servicios informáticos, hosting, email… ya podéis ir preparándoos para la avalancha de contratos de encargado de tratamiento que os van a llegar, si es que todavía no lo han hecho…

Y es que, el nuevo Reglamento General de Protección de Datos (RGPD) -que será de aplicación a partir del 25 de mayo- ha modificado sustancialmente las obligaciones del encargado de tratamiento de datos, figura que ya aparecía en la todavía vigente LOPD. Aunque ya era obligatorio cumplir con una serie de medidas de seguridad para el tratamiento de datos de terceros, ahora ya no se podrá eludir dicha responsabilidad con la facilidad con que se venía haciendo hasta ahora. Porque, seamos sinceros, por ejemplo ¿cuántas empresas de marketing digital tenían implantado un sistema de protección de datos realmente? ¿cuántas de ellas se habían comprometido por escrito a cumplir con las medidas de seguridad necesarias?

El nuevo Reglamento General ha modificado sustancialmente las obligaciones del encargado de tratamiento de datos

Si todavía no se te ha encendido el piloto de warning, será mejor que empiece por el principio. ¿Qué es un encargado de tratamiento de datos? Puedes encontrar la definición en la guía con las directrices para la elaboración de contratos entre responsables y encargados del tratamiento, que tiene la Agencia Española de Protección de Datos (AEPD) publicada en su página web y que, como su nombre indica, da pautas sobre este tema:

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan variados como los tipos de servicios que puedan suponer acceso a datos personales. Así, podemos encontrar servicios cuyo objeto principal es el tratamiento de datos personales (por ejemplo, una empresa o entidad pública que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo el gestor de un servicio público municipal).

Como imaginarás, si la AEPD, junto a la Autoritat Catalana de Protecció de Dades y la Datuak Babesteko Euskal Bulegoa han unido fuerzas para crear esta guía dedicada en exclusiva al contrato que ha de hacerse entre el responsable del tratamiento de datos y el que será el encargado del tratamiento, es que el tema merece especial atención.

Para empezar, a la hora de elegir un encargado de tratamiento de datos (léase, cualquiera de los servicios que comentaba al inicio del artículo u otros que suponga el tratamiento de los datos personales por cuenta de un tercero), las empresas deberán hacer una selección mucho más cuidada –deber de diligencia en la elección del responsable-, ya que el encargado ha de poder comprometerse, a través del mencionado contrato, a cumplir con los requerimientos que impone la norma. Como mínimo debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

A la hora de elegir un encargado de tratamiento de datos, las empresas deberán hacer una selección mucho más cuidada

Es decir, todos los encargados de tratamiento de datos deberán contar con un protocolo interno de protección de datos completo y adecuado al nuevo RGPD. Así, aquellos que no lo tengan, empezarán a perder clientes en breve, ya que éstos les exigirán, antes o después, no sólo la firma del contrato para cumplir con el papeleo, sino, sobre todo, garantías suficientes de su compromiso.

Si a estas alturas ya tienes claro que, efectivamente, eres el encargado del tratamiento de los datos de tu cliente (aunque éste todavía no te lo haya dicho, ni te haya enviado el contrato del que estamos hablando porque no es consciente aún de sus obligaciones, tal y como comentaba en un artículo anterior), creo que es hora de ponerse las pilas cuanto antes, ya que, en caso de que cometas una infracción al determinar los fines y medios del tratamiento de sus datos (en realidad, de los datos de sus clientes), serás considerado “responsable del tratamiento con respecto a dicho tratamiento” tal y como determina la nueva norma. Recuerda que lo que se está protegiendo con el nuevo Reglamento son los derechos de las personas afectadas por ese tratamiento.

La buena noticia es que todavía estás a tiempo de hacerlo bien. Es más, si te adelantas a tu cliente y eres tú el que le avisa de la necesidad de firmar el contrato de encargado de tratamiento, se verá gratamente sorprendido. Convertirás así este reto en una buena oportunidad.

Maite Sanz de Galdeano es abogada especializada en Derecho Digital y nuevas tecnologías en Welaw.

Te puede interesar

Salir de la versión móvil