Blog
Proyectos

miércoles 26 de marzo de 2008

La figura del encargado del tratamiento

La figura del encargado del tratamiento ha sido objeto de uno de los más manidos debates en la interpretación de la legislación en materia de datos de carácter personal desde sus orígenes.

El estatuto jurídico del encargado del tratamiento fue regulado en primer lugar por el artículo 27 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, "LORTAD"), y desde el inicio de su aplicación práctica generó diversas dudas en su interpretación, en parte alimentadas por el hecho de que no contaba con desarrollo reglamentario alguno y por insuficiencias que fueron parcialmente resueltas por los artículos 12 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD").

A continuación listamos los principales aspectos que integran el estatuto jurídico de la figura del encargado del tratamiento:

  • Distinción entre los términos "responsable del fichero o tratamiento" y "encargado del tratamiento";
  • Distinción entre cesión o comunicación de datos y acceso a datos por cuenta de terceros;
  • Aplicación a ficheros automatizados y no automatizados;
  • Régimen de responsabilidad del encargado del tratamiento;
  • Formalidades en la contratación del tratamiento de datos a terceros (encargados del tratamiento);
  • Medidas de seguridad aplicables por el encargado del tratamiento;
  • Destrucción y devolución de los datos, soportes o documentos en que conste algún dato de carácter personal objeto del tratamiento;
  • Conservación de los datos objeto de la prestación de tratamiento por el encargado de éste;
  • Posibilidad de subcontratación del tratamiento por parte del encargado de éste y formalidades en su contratación.
La AGPD vino a resolver algunas de las dudas interpretativas existentes por medio de los Informes 283/2004, 416/2004 y 513/2004 de su Asesoría Jurídica, en los que la Asesoría Jurídica venía a reiterar lo ya manifestado en el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas del año 2001, de fecha 17 de julio de 2003. Estos informes se complementan con el Informe 000/2000 cuyo contenido fue revisado en 2006 para incluir la referencia a este Plan de Inspección de Oficio en precisión sobre lo manifestado en este anterior informe sobre la posibilidad de subcontratación de terceros por el encargado del tratamiento.

Precisamente lo manifestado por la AGPD en estas recomendaciones ha sido lo que ha venido a incluirse en el Título II, Capítulo III (artículos 20 a 22) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD") estableciendo la regulación de la figura del encargado del tratamiento en desarrollo del artículo 12 LOPD y que se complementa con lo establecido en el artículo 43 LOPD y con las referencias específicas al encargado del tratamiento en el Título VIII RLOPD relativo a las medidas de seguridad aplicables a los ficheros de datos de carácter personal.

A continuación, citaremos las novedades que trae consigo el RLOPD y los nuevos problemas interpretativos que trae consigo en relación con el estatuto jurídico del encargado del tratamiento aún reconociendo el avance que supone este nuevo articulado:
  • Formalidades en la contratación de los servicios que impliquen el tratamiento de datos de carácter personal
Las formalidades en la contratación de los servicios de tratamiento de datos de carácter personal vienen estipuladas en el artículo 12 LOPD, en cuya atención y el artículo 20.2 RLOPD viene ahora a establecer que el responsable del fichero "deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento".

Quizás hubiera sido conveniente añadir en este artículo un "en todo momento" en relación a una posible reclamación basada ya sea en la "culpa in eligendo", "culpa in contrahendo" o "culpa in vigilando".

  • Cesión o comunicación de datos a terceros por el encargado del tratamiento
Tanto el artículo 12.2 LOPD como el 20.3 RLOPD establecen que el encargado del tratamiento no podrá comunicar a terceros los datos, ni siquiera para su conservación.

El artículo 20.3 RLOPD en su último párrafo viene a aclarar que "el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo", en clara referencia a la transición del servicio de tratamiento de un encargado del tratamiento a otro.

  • Destrucción o devolución de los datos objeto de la prestación de tratamiento
El artículo 12 LOPD dispone que los datos objeto de la prestación de tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, deban de ser destruidos o en su caso devueltos al responsable del tratamiento.

En este sentido, y en atención a lo dispuesto por los artículos 16.3 y 16.5 LOPD, el artículo 22.1 RLOPD viene a aclarar en su segundo párrafo que la devolución de los datos procederá en tanto en cuanto existan obligaciones legales de conservación. A este segundo párrafo del artículo 22.1 RLOPD se le puede y debe hacer la crítica de que obvia las obligaciones de conservación de tipo voluntario que pudieran existir como reconoce el propio artículo 16.5 LOPD.

  • Conservación de los datos personales objeto del contrato del servicio que implique su tratamiento
El artículo 12 LORTAD establecía la obligación de destruir los datos objeto de la prestación de tratamiento una vez concluida ésta, si bien habilitaba la posibilidad de que el responsable del fichero autorizara la conservación de los datos por el encargado del tratamiento por un plazo máximo de 5 años y adoptando las debidas condiciones de seguridad porque razonablemente se presumiera la posibilidad de ulteriores encargos.

Esta posibilidad fue omitida por el artículo 12 LOPD, si bien el Informe 283/2004 vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, a salvo de cumplimiento gravemente defectuoso o de ausencia de coincidencia con la prestación estipulada en el contrato. Todo ello sin perjuicio del derecho que asiste al encargado del tratamiento a recibir el pago por el responsable del fichero del precio acordado como contraprestación del servicio prestado. Ello significaría que una vez cumplida la prestación de tratamiento de datos el encargado de éste debería proceder a la destrucción o devolución de los datos objeto del contrato, si bien el artículo 1255 del Código Civil habilitaría un posible pacto entre las partes consistente en que "el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo".

Aún y todo, no existiendo acuerdo de este tipo entre el responsable del fichero y el encargado del tratamiento, si ha de ser considerado el encargado del tratamiento también como responsable del tratamiento, era lógico pensar que en atención a lo dispuesto en los artículos 16.3 y 16.5 LOPD, el encargado del tratamiento pudiera conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, de igual manera a cómo lo puede hacer el responsable del fichero (bloqueo de datos). Esto viene a ser ahora reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD.

Por tanto, una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

Cuestión distinta serán las dudas interpretativas que genere la regulación del bloqueo de los datos y que la AGPD ha tratatado de resolver en sus Informes 000/2001 y 127/2006. Y digo que ha tratado de resolver, pues creo que la solución dada no es del todo conforme o no encaja perfectamente con el articulado de la LOPD y su normativa de desarrollo, incluido el RLOPD.

  • Subcontratación de terceros por el encargado del tratamiento
Como apuntábamos antes, los artículos 12.2 LOPD y 20.3 RLOPD prohíben al encargado del tratamiento comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, si bien es cierto que el principio de transparencia requería ciertas obligaciones formales en la celebración de la subcontratación que no estaban recogidas en la legislación. Esto mismo es lo que vino a poner de relieve el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas antes citado.

La doctrina manifestada por la AGPD en este Plan de Oficio viene a incorporarse en el artículo 21 RLOPD, si bien creo que la redacción de este artículo es manifiestamente mejorable y creo que se ha complicado sobremanera, pues este artículo no viene más que a reiterar las formalidades exigibles en la contratación de los servicios de tratamiento a los casos en los que el encargado del tratamiento los subcontrate total o parcialmente a terceros. Además el artículo 21.2 RLOPD induce a confusión al afirmar que es posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los requisitos en él listados. La subcontratación se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 16:57
Etiquetas: , ,
Suscribirse a: Enviar comentarios (Atom)
 
© Copyright S21sec Gestión S.A. 2007