Prestaciones de servicios: responsabilidades y medidas de control

Anuncio
Prestaciones de servicios:
responsabilidades
y medidas de control
Pilar
García
Abogada
Audisec,
Seguridad de la
Información S.L.
a normativa en materia de protección de datos regula las prestaciones de servicios que implican el tratamiento de datos de
carácter personal por un tercero
que actúa como encargado del tratamiento.
L
actuación por parte del Encargado se
efectuará por cuenta del Responsable,
no existiendo cesión de datos, siempre
que se regule la prestación de acuerdo
con los requisitos establecidos en el artículo 12 y no se establezca un nuevo vínculo entre el Encargado y los afectados.
Estas prestaciones deben regularse
conforme a los requisitos que establece
el artículo 12 LOPD, que establece la responsabilidad del encargado del tratamiento cuando incumpla las estipulaciones establecidas en el contrato que regula la prestación.
El cumplimiento de los requisitos establecidos en la normativa vigente, en cuanto al Derecho de Información, Calidad de
los Datos, Consentimiento, etc., corresponderán al Responsable del Fichero .
El artículo 5.3 del Real Decreto
1720/2007 que desarrolla la LOPD, define
al “encargado del tratamiento” como: ”La
persona física o jurídica (…) que trate
datos personales por cuenta del responsable del tratamiento o del responsable
del fichero, como consecuencia de la
existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito
de su actuación para la prestación de un
servicio”.
Así, deberá existir una relación jurídica que vincule al Responsable con el
Encargado, en la que se deberá delimitar
el objeto de la prestación, de manera que
el acceso y tratamiento de los datos que
se efectúe dentro de ese ámbito de
septiembre 2009 140
Por su parte, si el Encargado utilizara
los datos para finalidades diferentes al
objeto de la prestación será considerado
Responsable y asumirá las infracciones
que hubiera podido cometer como consecuencia de los tratamientos realizados.
Si bien, el Artículo 12.2 LOPD, señala
que el Encargado no podrá comunicar los
datos a terceros, ni siquiera para su conservación; el R.D. recoge la posibilidad de
comunicar los datos a un tercero, con el
conocimiento y autorización del Responsable para efectuar la subcontratación de
servicios, sin que el Encargado incurra en
responsabilidad alguna por la comunicación de estos datos a un tercero.
Tanto en el Artículo 12 LOPD como en
el Capítulo III del R.D. 1720/2007, se deli-
normas y d-tic
tante de los controles periódicos de
verificación del cumplimiento de estas
medidas y, en su caso, al informe de
auditoría, garantizándose el cumplimiento de sus obligaciones por parte
del Encargado.
Respecto a la devolución o destrucción de la documentación y soportes
generados durante la prestación, el
Encargado deberá proceder a su entrega
o destrucción una vez concluida la misma, salvo en el supuesto recogido en el
Artículo 22 R.D. El Responsable podrá
establecer como condición en el contrato que el Encargado certifique el cumplimiento de esta obligación asumiendo
toda responsabilidad que se derive del
incumplimiento de la misma como consecuencia de un uso indebido de esta
información.
mita la responsabilidad del Encargado
del Tratamiento. Pero además, se plantea la posibilidad de establecer medidas
de control por parte del Responsable que
le permitan verificar la correcta actuación
de su prestador de servicios y el cumplimiento de las condiciones estipuladas en
el contrato que regula la prestación.
En este sentido, el R.D. introduce en
su Artículo 20.2, la potestad de control
por parte del Responsable.
Ya, en la Directiva 95/46 del Parlamento Europeo, se hacía mención a la
obligación del Responsable de contratar
un Encargado que reuniera las condiciones necesarias y asegurarse que las
cumpliera.
A pesar de esta mención, no se establecen en el R.D. las medidas concretas
que podrá adoptar el Responsable para
verificar el correcto desempeño de la
prestación por parte del Encargado, si
bien, la normativa vigente establece una
serie de obligaciones que el Encargado
deberá cumplir en el tratamiento de los
datos y cuya verificación podrá estipularse por el Responsable como condición
en el contrato que regula la prestación
El Artículo 12.2 LOPD establece, la
obligación del Encargado de implantar
las medidas de seguridad que correspondan al tratamiento de datos realizado
y que deberán indicarse en el correspondiente contrato.
El cumplimiento de las medidas de
seguridad obliga a la existencia de un
Documento de Seguridad, en el que
deberán identificarse aquellos tratamientos que se efectúen actuando como
encargado del tratamiento, con identificación de los ficheros, contrato que
regula la prestación, identificación del
responsable del fichero y periodo de
duración del encargo (Artículo 88.5 R.D.
1720/2007).
En el D.S. se deberán identificar los
procedimientos y controles periódicos a
realizar para verificar el cumplimiento de
las medidas de seguridad establecidas en
el mismo (Artículo 88.7 R.D.1720/2007).
Cuando el encargo del tratamiento
afecte a ficheros de nivel medio y alto,
estarán sometidos a la realización de una
auditoría para verificar el cumplimiento
de las medidas de seguridad establecidas en el R.D., auditoría que tendrá la
obligación de realizar el Encargado del
Tratamiento.
Así, el Responsable podrá establecer como condiciones en el contrato el
acceso al Documento de Seguridad en
el que se recojan las medidas que
deberán implementarse en el tratamiento de sus datos, al informe resul141 septiembre 2009
Cuando se realice la subcontratación de servicios en los términos establecidos en el Artículo 20.2 R.D., en el
contrato formalizado entre el Encargado y el Subcontratista de los servicios,
se deberán incluir las mismas medidas
de control sobre el Subcontratista que
las establecidas en el contrato inicial
entre el Responsable y el Encargado
del Tratamiento, teniendo acceso el
Responsable a la documentación que
se deriva de ellas con la finalidad de
verificar que el subcontratista cumple
con sus obligaciones en el tratamiento
de los datos.
El Encargado deberá garantizar el
Deber de Secreto regulado en el Artículo
10 LOPD, de todos aquellos que intervengan en el tratamiento de los datos y
que, evidentemente, actúen bajo su
dependencia.
En conclusión, el Responsable del
Fichero tiene la obligación de asegurarse
que el prestador de servicios contratado
cumple con las garantías necesarias para
tratar los datos de carácter personal y
para ello, podrá establecer como condiciones en el contrato el acceso a las verificaciones y documentos que la normativa establece para el cumplimiento de las
medidas de seguridad, la devolución de
la documentación y el cumplimiento del
deber de secreto.
Descargar