EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DATOS PERSONALES

/en

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

Para demostrar el cumplimiento por parte del responsable del tratamiento de los datos, la normativa alude a la adhesión a códigos de conducta o mecanismos de certificación.

De acuerdo con lo dispuesto en la reciente guía[1] publicada por la AEPD con la colaboración de la Agencia catalana y vasca de protección de datos, el principio de responsabilidad proactiva supone “un actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.

¿Quién es responsable del tratamiento?

Es responsable aquel que decide sobre la finalidad y usos del tratamiento. Tiene un poder de decisión sobre qué hacer con los datos de carácter personal.

¿Quién es encargado del tratamiento?

Es encargado aquel accede y/o trata los datos de carácter personal de acuerdo con las instrucciones del Responsable por razón de la prestación de un servicio al responsable. No tiene poder de decisión sobre las finalidades del tratamiento de los datos, ni los puede usar para su interés propio. Numerosos ejemplos de encargados de tratamiento enumeran la Guía, en atención al servicio prestado de acuerdo con el ciclo de la vida de los datos personales que van desde la recogida, el registro, la organización, estructuración, modificación, extracción, consulta, uso, comunicación por transmisión, difusión, cotejo, interconexión, supresión y destrucción.

Son encargados de tratamiento más comunes los prestadores de servicios de hosting, las gestorías que confeccionan las nóminas, los prestadores de servicios informáticos, los prestadores de servicios de envío de cartas y paquetería, los prestadores de servicios de destrucción confidencial, gestores de servicios públicos municipales.

¿Quién debe adoptar las medidas técnicas y organizativas?

Tanto el responsable como el encargado han de implantar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento y en particular la pseudonimización de los datos personales, la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la restauración de datos personales en cuanto acceso y disponibilidad en caso de incidente físico o técnico y la verificación regular que dichas medidas garantizan la seguridad del tratamiento.      

Para la aplicación de estas medidas se tendrá en cuenta: i) el estado de la técnica; ii) los costes de la aplicación; iii) la naturaleza, alcance, contexto y fines del tratamiento; iv) riesgos para los derechos y deberes de las personas físicas.

Al responsable se le traslada la carga de la prueba de acreditar que ha sido diligente en la elección del encargado y que éste ofrece garantías suficientes de cumplimiento del Reglamento en cuanto a conocimientos especializados, fiabilidad y recursos.

¿Cómo puede probar el responsable que el encargado cumple?

El responsable tendrá que solicitar al encargado que le demuestre el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida que establece el Reglamento es que aquel se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos emitido por la autoridad de control competente y/o por organismo de certificación acreditado.   Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Debe asegurarse que el encargado implanta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Asociada a esta cuestión es de importancia capital citar la Sentencia del Juzgado de lo Penal número 6 de Barcelona donde se absuelve a un empleado de un delito continuado de descubrimiento de secretos en cuanto al acceso ilegítimo a buzones de correo electrónico corporativo y de un delito de revelación de secretos en relación a la remisión a ochenta cuentas de correo corporativo de documentos que contenían datos laborales y salariales de los trabajadores de la Corporació Catalana de Mitjans Audiovisuals (CCMA), de TV3 y de Catalunya Radio, debido a que las medidas de seguridad adoptadas por la corporación eran insuficientes.

Estas medidas de seguridad eran insuficientes porque:

  1. No había usuario y contraseña para acceder al Departamento afectado (Post-producción) por lo que no había un control de accesos a los equipos o al propio departamento, el acceso al mismo se producía mediante tarjeta y luego quedaba abierto para todos los integrantes (8-9 personas).
  2. Cualquiera podía instalar software sin supervisión, en este caso se instaló un sistema TOR y web Proxy y no existía ningún tipo de control.
  3. Los ordenadores corporativos sí tenían password y contraseña, pero se bloquean al transcurrir un largo período de tiempo, por lo que hasta el bloqueo cualquiera podía entrar en el ordenador del otro.
  4. Desde los ordenadores del Departamento afectado se podía acceder a Internet con posibilidad de acceso a los ordenadores corporativos introduciendo la contraseña.
  5. Las contraseñas no estaban encriptadas.

En conclusión, a partir de este momento y hasta la definitiva entrada en vigor del Reglamento de Protección de Datos, mayo de 2018 el responsable del tratamiento deberá adoptar el mismo las medidas técnicas y organizativas en el tratamiento de datos personales teniendo en cuenta estado de la técnica, los costes de la aplicación, naturaleza, alcance, contesto y fines del tratamiento y riesgos para las personas físicas y extremar la diligencia en cuanto a la elección de los proveedores-encargados del tratamiento- con los que trabaja y que acceden y/o tratan datos personales del responsable asegurándose que cumplen.

[1] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf