Encargado del tratamiento. Diligencia y Vigilancia

La tendencia empresarial a la contratación de servicios externos “Outsorurcing”  se consolida y resulta del todo habitual y cotidiana, tanto en pequeñas empresas como en grandes corporaciones.

De todos es sabido que la relación entre el responsable de los ficheros de datos personales y el encargado del tratamiento debe formalizarse en base a las obligaciones legales derivadas del art. 12 de la LOPD y del 20 a 22 del RLOPD.


Una de las casuísticas que nos vamos a encontrar, sobre todo a nivel informático es que vamos a contratar con proveedores que tienen una situación dominante en el mercado y que en numerosas ocasiones no se encuentran ubicados en España y a los que proponer la firma de este contrato resulta misión imposible, ya que sus contratos de adhesión son como las lentejas “que si quieres las tomas y sino las dejas”. Podemos valorar sus condiciones generales de contratación y ver en los apartados de privacidad si hacen referencia a su estatus de encargado y bajo qué condiciones, aunque esto no nos garantice el cumplimiento de las obligaciones normativas españolas y ponga en entredicho nuestra debida diligencia en la elección y la vigilancia frente al encargado.


Ya en el ámbito nacional, antes de firmar un acuerdo con un encargado, nos dice la normativa que debemos elegir diligentemente a nuestro encargado y últimamente encuentro situaciones en que se le solicita al encargado una declaración de que diga que al menos cumple con cuatro requisitos básicos, tener ficheros inscritos en la AEPD, tener un documento de seguridad, destruir o devolver la documentación a la finalización del encargo y cumplir con las medidas de seguridad que le indiquemos.


Este encargado como tiene la mala costumbre de comer todos los meses, va a declarar lo que le pidamos por hacernos sus clientes y luego vienen los sustos, por eso no podemos sino recomendar al menos, que el responsable verifique en el registro general de ficheros de la AEPD si esa empresa con la que quiere contratar tiene ficheros inscritos (bastaría con disponer del CIF del proveedor), aunque eso solo de por si no asegura que cumpla con la normativa, también podríamos solicitarle que nos entregara un certificado expedido por una consultora cualificada, sobre el grado de cumplimiento en la última auditoría realizada. Podemos por último investigar en su web, si existe y es correcta la política de privacidad, el aviso legal y en su caso, si informa adecuadamente sobre la utilización de las cookies.

Todo esto nos dará una imagen algo más completa sobre el cumplimiento normativo del candidato y a partir de ahí, podríamos decidir si firmar un contrato en él.


Pero nuestra tarea no termina ahí, puesto que hay proveedores, que con el tiempo deciden prescindir de ajustarse al cumplimiento normativo, se desactualizan, no se auditan bienalmente, abandonan el cumplimiento legal de su web, etc. y es por eso que debemos de mantener la vigilancia sobre ellos con carácter periódico y en especial antes de la renovación de los servicios contratados.


La diferencia entre hacer bien las cosas o no puede implicar que, ante un incumplimiento del encargado, éste nos arrastre a un procedimiento sancionador y téngase en cuenta que la falta de aplicación de las debidas medidas de seguridad se califica como falta y puede ser sancionada en el tramo de 40.001€ a 300.000€ por lo que dediquemos unos minutos antes de elegir a nuestro encargado del tratamiento o puede salirnos muy caro.

José Manuel Mulero

Comentarios: 0 (Discusión cerrada)
    Todavía no hay comentarios.