Prestaciones de servicios: responsabilidades y medidas de control Pilar García Abogada Audisec, Seguridad de la Información S.L. a normativa en materia de protección de datos regula las prestaciones de servicios que implican el tratamiento de datos de carácter personal por un tercero que actúa como encargado del tratamiento. L actuación por parte del Encargado se efectuará por cuenta del Responsable, no existiendo cesión de datos, siempre que se regule la prestación de acuerdo con los requisitos establecidos en el artículo 12 y no se establezca un nuevo vínculo entre el Encargado y los afectados. Estas prestaciones deben regularse conforme a los requisitos que establece el artículo 12 LOPD, que establece la responsabilidad del encargado del tratamiento cuando incumpla las estipulaciones establecidas en el contrato que regula la prestación. El cumplimiento de los requisitos establecidos en la normativa vigente, en cuanto al Derecho de Información, Calidad de los Datos, Consentimiento, etc., corresponderán al Responsable del Fichero . El artículo 5.3 del Real Decreto 1720/2007 que desarrolla la LOPD, define al “encargado del tratamiento” como: ”La persona física o jurídica (…) que trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”. Así, deberá existir una relación jurídica que vincule al Responsable con el Encargado, en la que se deberá delimitar el objeto de la prestación, de manera que el acceso y tratamiento de los datos que se efectúe dentro de ese ámbito de septiembre 2009 140 Por su parte, si el Encargado utilizara los datos para finalidades diferentes al objeto de la prestación será considerado Responsable y asumirá las infracciones que hubiera podido cometer como consecuencia de los tratamientos realizados. Si bien, el Artículo 12.2 LOPD, señala que el Encargado no podrá comunicar los datos a terceros, ni siquiera para su conservación; el R.D. recoge la posibilidad de comunicar los datos a un tercero, con el conocimiento y autorización del Responsable para efectuar la subcontratación de servicios, sin que el Encargado incurra en responsabilidad alguna por la comunicación de estos datos a un tercero. Tanto en el Artículo 12 LOPD como en el Capítulo III del R.D. 1720/2007, se deli- normas y d-tic tante de los controles periódicos de verificación del cumplimiento de estas medidas y, en su caso, al informe de auditoría, garantizándose el cumplimiento de sus obligaciones por parte del Encargado. Respecto a la devolución o destrucción de la documentación y soportes generados durante la prestación, el Encargado deberá proceder a su entrega o destrucción una vez concluida la misma, salvo en el supuesto recogido en el Artículo 22 R.D. El Responsable podrá establecer como condición en el contrato que el Encargado certifique el cumplimiento de esta obligación asumiendo toda responsabilidad que se derive del incumplimiento de la misma como consecuencia de un uso indebido de esta información. mita la responsabilidad del Encargado del Tratamiento. Pero además, se plantea la posibilidad de establecer medidas de control por parte del Responsable que le permitan verificar la correcta actuación de su prestador de servicios y el cumplimiento de las condiciones estipuladas en el contrato que regula la prestación. En este sentido, el R.D. introduce en su Artículo 20.2, la potestad de control por parte del Responsable. Ya, en la Directiva 95/46 del Parlamento Europeo, se hacía mención a la obligación del Responsable de contratar un Encargado que reuniera las condiciones necesarias y asegurarse que las cumpliera. A pesar de esta mención, no se establecen en el R.D. las medidas concretas que podrá adoptar el Responsable para verificar el correcto desempeño de la prestación por parte del Encargado, si bien, la normativa vigente establece una serie de obligaciones que el Encargado deberá cumplir en el tratamiento de los datos y cuya verificación podrá estipularse por el Responsable como condición en el contrato que regula la prestación El Artículo 12.2 LOPD establece, la obligación del Encargado de implantar las medidas de seguridad que correspondan al tratamiento de datos realizado y que deberán indicarse en el correspondiente contrato. El cumplimiento de las medidas de seguridad obliga a la existencia de un Documento de Seguridad, en el que deberán identificarse aquellos tratamientos que se efectúen actuando como encargado del tratamiento, con identificación de los ficheros, contrato que regula la prestación, identificación del responsable del fichero y periodo de duración del encargo (Artículo 88.5 R.D. 1720/2007). En el D.S. se deberán identificar los procedimientos y controles periódicos a realizar para verificar el cumplimiento de las medidas de seguridad establecidas en el mismo (Artículo 88.7 R.D.1720/2007). Cuando el encargo del tratamiento afecte a ficheros de nivel medio y alto, estarán sometidos a la realización de una auditoría para verificar el cumplimiento de las medidas de seguridad establecidas en el R.D., auditoría que tendrá la obligación de realizar el Encargado del Tratamiento. Así, el Responsable podrá establecer como condiciones en el contrato el acceso al Documento de Seguridad en el que se recojan las medidas que deberán implementarse en el tratamiento de sus datos, al informe resul141 septiembre 2009 Cuando se realice la subcontratación de servicios en los términos establecidos en el Artículo 20.2 R.D., en el contrato formalizado entre el Encargado y el Subcontratista de los servicios, se deberán incluir las mismas medidas de control sobre el Subcontratista que las establecidas en el contrato inicial entre el Responsable y el Encargado del Tratamiento, teniendo acceso el Responsable a la documentación que se deriva de ellas con la finalidad de verificar que el subcontratista cumple con sus obligaciones en el tratamiento de los datos. El Encargado deberá garantizar el Deber de Secreto regulado en el Artículo 10 LOPD, de todos aquellos que intervengan en el tratamiento de los datos y que, evidentemente, actúen bajo su dependencia. En conclusión, el Responsable del Fichero tiene la obligación de asegurarse que el prestador de servicios contratado cumple con las garantías necesarias para tratar los datos de carácter personal y para ello, podrá establecer como condiciones en el contrato el acceso a las verificaciones y documentos que la normativa establece para el cumplimiento de las medidas de seguridad, la devolución de la documentación y el cumplimiento del deber de secreto.