Responsabilidad compartida de los subcontratistas

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

A lo largo del texto, se hace referencia a los encargados del tratamiento junto con los responsables del tratamiento de datos. Según el artículo 4-8, un encargado del tratamiento es «una persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento». Solo puede actuar en el marco de un contrato u otro acto jurídico de la Unión Europea, que reitera sus obligaciones en materia de protección de datos (artículo 28-3).

En septiembre de 2017, la CNIL publicó una Guía del subcontratista que aclara su papel y naturaleza en la cadena de tratamiento y protección de datos.

A pesar de su definición precisa, el término subcontratista puede aplicarse a muchas estructuras, enumeradas a continuación:

“– Proveedores de servicios informáticos (alojamiento, mantenimiento, etc.), integradores de software, empresas de seguridad informática, empresas de servicios digitales o anteriormente empresas de servicios e ingeniería informática (SSII) que tengan acceso a los datos;

– agencias de marketing o comunicaciones que procesan datos personales por cuenta de clientes;

– de forma más general, cualquier organización que ofrezca un servicio o prestación que implique el procesamiento de datos personales en nombre de otra organización;

– también podrá exigirse que un organismo público o una asociación reciban dicha calificación”.

Tenga en cuenta que, al procesar datos por cuenta propia (p. ej., gestión de personal), el subcontratista es responsable del tratamiento. Esto también aplica si determina la finalidad y los medios del tratamiento.

En caso de duda sobre la condición –responsable del tratamiento o encargado del tratamiento–, la CNIL se remite al dictamen de 16 de febrero de 2010 de las autoridades europeas de control, que indica una serie de indicios que pueden utilizarse:

– la autonomía del prestador de servicios en la ejecución de su servicio;

– seguimiento del servicio;

– el valor añadido, es decir, la experiencia aportada por el proveedor de servicios;

– el grado de transparencia en cuanto al uso de un proveedor de servicios (¿su identidad es conocida por las personas interesadas que utilizan los servicios del cliente?).

Según el RGPD, el encargado del tratamiento es corresponsable. Asiste al responsable del tratamiento en el cumplimiento de sus obligaciones (art. 28-3f). Mantiene un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable (art. 30-2). Y, en la mayoría de los casos, también debe designar a un delegado de protección de datos (art. 37), tema que abordaremos más adelante.

La CNIL especifica en su guía lo que se entiende por “garantías suficientes” que debe proporcionar el subcontratista para poder realizar su trabajo:

– transparencia y trazabilidad (contrato, instrucciones, registro y toda la información necesaria para acreditar el cumplimiento de las obligaciones);

– protección de datos desde el diseño y por defecto (tratamiento mínimo, relacionado con la finalidad y sólo con dicha finalidad, duración limitada);

– seguridad de los datos procesados (confidencialidad, notificación en caso de violación de datos, eliminación o devolución de datos al final del servicio);

– asistencia, alerta y asesoramiento.

Si el subcontratista también subcontrata, deberá obtener previamente la autorización por escrito del responsable del tratamiento (art. 28-2). Este segundo subcontratista está sujeto a las mismas obligaciones, incluso si está establecido fuera de la Unión Europea. Si no las cumple, el primer subcontratista será responsable. En otras palabras, en caso de problema, no se puede justificar alegando la ubicación de un proveedor de servicios en Marruecos o Singapur para un tratamiento que no cumple con el RGPD.

La CNIL recomienda modificar los contratos actuales, mediante enmiendas, para incluir las cláusulas obligatorias previstas por el reglamento europeo.

Si un subcontratista opera en varios países de la UE, es posible una ventanilla única. El artículo 56-1 establece que la autoridad principal será la del establecimiento principal. Si un subcontratista no tiene un establecimiento en la UE, deberá designar un representante, que será la persona de contacto para los interesados y las autoridades de control.

Las sanciones aplicadas a un subcontratista en caso de incumplimiento de sus obligaciones pueden ser tan severas como las impuestas a un responsable del tratamiento de datos.