El “Encargado del tratamiento” es una figura, que, aunque ya era contemplada en la LOPD (Ley Orgánica 15/1999), ha tomado un verdadero protagonismo con la llegada del nuevo Reglamento de Protección de Datos (RGPD UE 2016/679). Principalmente porque desde la entrada en vigor del RGPD se le exige demostrar que aplica las medidas adecuadas para proteger los datos personales, y porque su relación con el responsable del tratamiento debe regularse mediante un contrato, u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros.
Si nos ceñimos a lo que indica la norma, el RGPD en su artículo cuarto define al encargado del tratamiento de la siguiente forma: “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Que, expresado con un lenguaje más sencillo, es lo que comúnmente conocemos como proveedor, prestador de servicio, o contratista.
Un proveedor puede ser requerido para realizar actividades cuyo objeto principal sea el tratamiento de datos personales (por ejemplo, una gestoría que tramita las nóminas de una empresa), o bien este tratamiento puede darse sólo como consecuencia de la actividad que presta por cuenta del responsable (por ejemplo, la gestión de un servicio público municipal). De cualquier forma, el encargado siempre debe cumplir con las instrucciones de quien le encomienda el servicio respecto al correcto tratamiento de los datos personales a los que pueda tener acceso durante la prestación del mismo, y esta actividad debe respaldarse de forma contractual.
El reglamento en este punto no deja libertad a las partes, sino que identifica los puntos que debe contemplar el contrato de prestación del servicio, identificando unos contenidos mínimos (RGPD Art. 28.3) que son los siguientes:
Con el fin de mejorar el servicio y la relación entre responsable y encargado del tratamiento, este contenido se puede ampliar con la siguiente información:
Para profundizar un poco más en la elaboración del contrato del encargado se puede consultar la Guia de Directrices de Contratatos que ha elaborado la AEPD, disponible en su página web.
En el momento de escoger un proveedor es recomendable que el responsable del tratamiento se tome su tiempo y analice las garantías que le ofrece el encargado en cuanto a las medidas adoptadas para la protección de los derechos del interesado, y en general para cumplir con el RGPD.
Una forma de demostrar que el encargado está tomando las medidas adecuadas es la adhesión a códigos de conducta o a mecanismos de certificación (RGPD Art 28.5). Si bien éstos no han sido definidos hasta el momento por la comisión europea ni por las autoridades de control, una primera aproximación podría ser la certificación en estándares de seguridad de la información, que al menos evidencian la aplicación de buenas prácticas en la seguridad de los datos de forma genérica.
Ejemplos de ello pueden ser la declaración de cumplimiento de Amazon, y la de Microsoft, en las cuales se alude a estándares conocidos como ISO 27001, ISO 27017, ISO 27018, SOC1, SOC2, SOC3, PCI-DSS y al uso del Ciclo de Vida de Desarrollo de Seguridad de Microsoft, que incorpora las metodologías de privacidad por diseño y por defecto. Estos proveedores aportan herramientas para que los clientes que a su vez desarrollen servicios sobre estas infraestructuras puedan implementar sus propias medidas de seguridad; entre ellas el cifrado, la detección, analítica y monitorización de amenazas, el descubrimiento de datos personales, o la evaluación de seguridad de las aplicaciones.
No obstante, y reconociendo el gran valor que ello aporta, la información proporcionada por estas grandes entidades no ofrece una total transparencia sobre las medidas de seguridad con las que se operan sus servicios. Si buscamos conocer de forma fehaciente el nivel y las medidas de seguridad con los que realmente se tratan los datos bajo nuestra responsabilidad, la calificación de LEET Security ofrece una herramienta única, puesto que el referencial de controles es público, y de esta forma es posible conocer de forma inequívoca cuales son las medidas asociadas a un nivel determinado (el mostrado en el sello de calificación), y poder decidir de forma informada si son las adecuadas a nuestro análisis de riesgos. La evaluación independiente y los mecanismos de vigilancia asociados hacen de la calificación de LEET Security el modelo ideal para llevar a cabo la supervisión de los proveedores encargados de tratamientos de datos que nos permite demostrar toda la diligencia en el cumplimiento del RGPD.
Si la seguridad de los proveedores es un elemento de preocupación, contacta con nosotros.
All you need is LEET
Suscríbete a nuestras comunicaciones desde este enlace