ENCARGADO DEL TRATAMIENTO. DILIGENCIA Y VIGILANCIA

 

 

La tendencia empresarial a la contratación de servicios externos “Outsorurcing”  se consolida y resulta del todo habitual y cotidiana, tanto en pequeñas empresas como en grandes corporaciones.

 

De todos es sabido que la relación entre el responsable de los ficheros de datos personales y el encargado del tratamiento debe formalizarse en base a las obligaciones legales derivadas del art. 12 de la LOPD y del 20 a 22 del RLOPD.

 

Una de las casuísticas que nos vamos a encontrar, sobre todo a nivel informático, es que vamos a contratar con proveedores que tienen una situación dominante en el mercado, que en numerosas ocasiones no se encuentran ubicados en España y a los que proponer la firma de este contrato resulta misión imposible, ya que sus contratos de adhesión son como las lentejas “que si quieres las tomas y sino las dejas”. Podemos valorar sus condiciones generales de contratación y ver en los apartados de privacidad si hacen referencia a su estatus de encargado y bajo qué condiciones, aunque esto no nos garantice el cumplimiento de la normativa española y ponga en entredicho nuestra debida diligencia en la elección y la vigilancia frente al encargado.

 

Ya en el ámbito nacional, antes de firmar un acuerdo con un encargado nos dice la normativa que debemos elegirlo diligentemente y últimamente encuentro situaciones en que se le solicita al encargado una declaración en la que diga que al menos cumple con cuatro requisitos básicos: tener ficheros inscritos en la AEPD, tener un documento de seguridad, destruir o devolver la documentación a la finalización del encargo y cumplir con las medidas de seguridad que le indiquemos.

 

Este encargado como tiene la mala costumbre de comer todos los meses, va a declarar lo que le pidamos por hacernos sus clientes y luego vienen los sustos. Por esto es recomendable al menos que el responsable verifique en el registro general de ficheros de la AEPD si esa empresa con la que quiere contratar tiene ficheros inscritos (bastaría con disponer del CIF del proveedor), aunque como esto no asegura que cumpla con la normativa, también podríamos solicitarle la entrega de un certificado expedido por una consultora cualificada sobre el grado de cumplimiento en la última auditoría realizada. Podemos por último investigar en su web, si existe y es correcta la política de privacidad, el aviso legal y en su caso, si informa adecuadamente sobre la utilización de las cookies.

 

Todo esto nos dará una imagen algo más completa sobre el cumplimiento normativo del candidato y a partir de ahí, podríamos decidir si firmar un contrato con él.

 

Pero nuestra tarea no termina ahí, puesto que hay proveedores que con el tiempo deciden prescindir de ajustarse al cumplimiento de la normativa, se desactualizan, no se auditan bienalmente, abandonan el cumplimiento legal de su web, etc. debemos de mantener la vigilancia sobre ellos con carácter periódico y en especial antes de la renovación de los servicios contratados.

 

La diferencia entre hacer bien las cosas o no puede implicar que, ante un incumplimiento del encargado, nos veamos incursos en un procedimiento sancionador. Teniendo en cuenta que la falta de aplicación de las debidas medidas de seguridad se califica como falta grave y puede ser sancionada en el tramo de 40.001€ a 300.000€, deberíamos dedicarle unos minutos antes de elegir a nuestro encargado del tratamiento o esta falta de diligencia puede salirnos muy cara.

 

 JOSÉ MANUEL MULERO