Saltar al contingut principal

Transcripcions pòdcasts Parlem de dades personals

Nombre de lectures: 0

Transcripció del segon capítol sobre l’encàrrec del tractament de dades.

"Parlem de dades". Un pòdcast de l’Escola d’Administració Pública de Catalunya i l’Autoritat Catalana de Protecció de Dades.

Segon capítol: L’encàrrec del tractament de dades.

Presentació i guió

LOCUTOR: Bon dia! En aquest segon capítol de “Parlem de dades” analitzarem un aspecte clau per als responsables del tractament de dades personals: l’encàrrec del tractament de dades. Quan hem de fer aquest encàrrec? Com ha de ser el contracte amb l’encarregat i quines responsabilitats ha de tenir? Per resoldre aquests dubtes i molts més ens acompanya Eva Garcia. L’Eva és coordinadora d'Investigació i Instrucció de l'Autoritat Catalana de Protecció de Dades, entitat on presta serveis des de fa més de 14 anys.

Hola, Eva, i benvinguda!

EVA GARCIA: Hola, moltes gràcies!

LOCUTOR: A punt per resoldre els nostres dubtes?

EVA GARCIA: A punt!

LOCUTOR: Molt bé! Comencem doncs. Si parlem de l'encàrrec del tractament de dades personals, el primer que hem de saber és quan un responsable ha de formalitzar aquest contracte.

EVA: Doncs és molt senzill. El responsable ha de formalitzar un contracte d'encarregat quan encomana a una persona o a una entitat aliena a l’organització la prestació d’un servei que comporti el tractament de dades personals de les quals ell és responsable.

LOCUTOR: Perfecte. Ara bé, pot ser que contractem una empresa que, en principi, no necessiti accedir a dades personals, però no podem descartar que fortuïtament pugui passar. Per exemple, un servei de neteja d’oficines. En aquest cas, cal formalitzar un contracte?

EVA: No, en aquest cas no cal fer-ho. En aquesta situació el responsable de tractament de dades ha d'establir les mesures de seguretat adequades per tal d’evitar que l’empresa contractada pugui accedir a les dades. A més a més, cal imposar un deure de confidencialitat en cas que les persones o les entitats que ofereixen aquest servei accedeixin accidentalment a dades personals.

LOCUTOR: D'acord. Ara ja tenim clar quan hem de formalitzar un contracte d’aquest tipus. Però, qui pot ser l'encarregat del tractament de dades?

EVA: Pot ser-ho una persona física o jurídica, una autoritat pública, un servei o un organisme. Per tant, un encarregat del tractament de dades pot ser des d’una organització fins a un sol individu. El que vull posar en relleu és que qualsevol encarregat del tractament de dades ha de complir dues condicions ineludibles: d'una banda, ha de ser una persona o entitat aliena a l’organització del responsable del tractament i, de l'altra, ha de tractar les dades per compte del responsable.

LOCUTOR: I el responsable del tractament pot triar qualsevol entitat o individu com a encarregat?

EVA: No, no pot ser qualsevol. L’encarregat ha d’oferir prou garanties. És a dir, ha de tenir coneixement especialitzat, fiabilitat, recursos i reputació en el mercat. Abans d'escollir-lo, el responsable del tractament ha d’avaluar les garanties que ofereix l’encarregat, assegurar-se que són suficients i provar que ha tingut en compte tots els elements establerts en el Reglament europeu de protecció de dades. A més a més, es tracta d’una obligació continuada en el temps, no només en el moment de triar-lo. En aquest sentit, el mateix Reglament europeu estableix que tant l’adhesió de l’encarregat a un codi de conducta com disposar d’un mecanisme de certificació dels que estableix aquest Reglament, es poden utilitzar com a elements per demostrar l’existència de prou garanties.

LOCUTOR: Ara que sabem com escollir l'encarregat, parlem del document que el vincula amb el responsable. Com ha de ser?

EVA: La relació entre l'encarregat i el responsable sempre ha de constar per escrit. Habitualment es tracta d’un contracte, però la normativa determina que aquesta relació també es pot regir mitjançant altres tipus d’actes jurídics, com per exemple un conveni. O, en el cas establert específicament a l’article 33.5 del Reglament europeu, les administracions públiques poden dur a terme aquest encàrrec mitjançat la norma reguladora de les competències. Sigui com sigui, el contracte o acte jurídic ha de ser, com he dit abans, escrit, i ha de reunir el contingut mínim requerit per la norma.

LOCUTOR: I aquest contracte d’encàrrec, què ha de tenir en compte obligatòriament?

EVA: El contracte sempre ha de tenir en compte els elements que determina l’article 28.3 del Reglament europeu, que són: l’objecte i la durada d'aquest contracte, la naturalesa i les finalitats del tractament, el tipus de dades que seran objecte de tractament i les categories de persones interessades, les obligacions i els deures del responsable i les funcions i responsabilitats específiques de l’encarregat. Hem de tenir present, però, que aquest contracte no es pot limitar a reproduir les disposicions del reglament, sinó que s’ha de redactar tenint en compte l’activitat concreta de tractament de les dades que es farà. M'agradaria remarcar que els encàrrecs de tractament sotmesos a la legislació de contractes del sector públic també han d’incloure les determinacions de l’article 122.2 d’aquesta norma.

LOCUTOR: I l’encarregat, quines obligacions té?

EVA: Les obligacions de l’encarregat són les que imposa el Reglament europeu. Algunes d’aquestes obligacions estan establertes a l’article 28, que regula aquesta figura. Determina, entre d'altres, que ha de tractar les dades conforme a les instruccions del responsable, informar-lo en cas que alguna d’aquestes instruccions pugui infringir la normativa i adoptar les mesures tècniques i organitzatives que siguin apropiades per garantir un nivell de seguretat adequat al risc.
Però cal tenir en compte que aquest article no recull totes les obligacions. N’hi ha algunes que estan establertes en altres preceptes del Reglament europeu. Per exemple, l'obligació de l’encarregat de mantenir un registre d’activitats del tractament, quan la norma ho exigeixi. Aquest registre ha de recollir la informació sobre els tractaments de dades que es duen a terme. En aquest cas són les activitats que du a terme l'encarregat per compte del responsable. Altres obligacions són: disposar d'un delegat o delegada de protecció de dades quan sigui exigible o notificar al responsable les possibles violacions de seguretat.

LOCUTOR: Tota l'estona estem parlant de dues figures que tenen un paper en el tractament de dades: el responsable i l'encarregat. Parlem ara de qui pren les decisions. El responsable pot deixar un cert marge de maniobra a l’encarregat?

EVA: Hem de partir de la base que les decisions sobre la finalitat i els mitjans essencials del tractament sempre les ha de prendre el responsable, i aquests mitjans essencials estan íntimament lligats a qüestions com quines dades es tractaran, la durada del tractament, les categories de destinataris o quines seran les persones afectades pel tractament. L’encarregat pot tenir un cert marge pel que fa als mitjans no essencials del tractament; per exemple, pot triar els mitjans tècnics i organitzatius més adients.

LOCUTOR: Per fer tota aquesta feina, pot ser que l’encarregat del tractament necessiti contractar un subencarregat. Ho pot fer?

EVA: Sí, ho pot fer, però sempre amb autorització prèvia i per escrit del responsable. Aquesta autorització, a més a més, pot ser de dos tipus: específica o general. L’autorització específica és la que fa referència expressa a un subencarregat concret i per a una operació de tractament concreta. Quan es fa aquest tipus d’autorització, hem d’informar el responsable de qualsevol canvi en la figura del subencarregat perquè l’autoritzi. En cas de silenci, hem d’entendre que el responsable denega el permís.
Quan l’autorització és general, és a dir, quan s'autoritza la subcontractació, però no es concreta l'entitat, l’encarregat ha d’informar el responsable de qualsevol incorporació o canvi de subencarregat perquè s’hi pugui oposar. Aquí, però, al contrari del que passava en l’autorització específica, el silenci per part del responsable s’ha d’entendre en sentit positiu, és a dir, com una autorització del canvi.
Voldria puntualitzar també que, en el cas dels contractes sotmesos a la llei de contractes del sector públic, la disposició addicional 25 d'aquesta norma, que regula la subcontractació, no inclou variacions significatives respecte al règim general establert pel Reglament europeu, que és el que acabo d’explicar.

LOCUTOR: Una de les obligacions que han de complir les entitats que treballen amb dades personals és atendre les sol·licituds d'exercici de drets, com el d’accés o supressió, per exemple. Qui ho ha de fer quan hi ha un encarregat?

EVA: Correspon al responsable del tractament assegurar que es doni resposta a les sol·licituds d’exercici de drets. Però, sempre que sigui possible, l’encarregat l’ha d'assistir amb mesures tècniques i organitzatives. De fet, aquesta és una de les obligacions de l’encarregat i s’ha d’establir expressament en el contracte. Voldria assenyalar, per això, que, en determinades circumstàncies, podem assignar als encarregats un deure més específic si estan en disposició d’extreure i gestionar les dades personals. Aquest supòsit està establert expressament a l'article 12.3 de la Llei orgànica 3/2018, que determina que l’encarregat pot tramitar directament les sol·licituds d’exercici de drets si així ho hem establert en el contracte.

LOCUTOR: D’acord. L’encarregat, tal com hem vist, tracta dades personals. Quina és la base jurídica que l'habilita per fer-ho?

EVA: En la mesura que l’encarregat tracta les dades per compte del responsable, la base jurídica que legitima el tractament per part de l’encarregat és la mateixa que la que legitima el tractament per part del responsable.

LOCUTOR: I cal que el responsable avisi aquestes persones que l'encarregat tractarà les seves dades?

EVA: La normativa no ho exigeix, però, en atenció al principi de transparència de l'article 12 del Reglament europeu, seria recomanable fer-ho en determinades circumstàncies i en funció del tipus del tractament.

LOCUTOR: Tant el responsable com l’encarregat del tractament han de complir la normativa de protecció de dades. A quines sancions es poden enfrontar si no ho fan?

EVA: Pel que fa a les sancions per incompliment de la normativa de protecció de dades, tant el responsable del tractament com l’encarregat poden ser sancionats si la contravenen. En el cas dels subjectes citats a l'article 77 de la Llei orgànica 3/2018, fonamentalment administracions públiques, la sanció no és econòmica, sinó que consisteix en una amonestació.
Així mateix, cal tenir en compte que qualsevol persona que hagi patit danys a conseqüència d’una infracció de la normativa de protecció de dades, té dret a exigir una indemnització al responsable o encarregat. Així ho estableix l’article 82 del Reglament europeu. I l'entitat que haurà de respondre dependrà de qui hagi estat el responsable de l'incompliment. Si l’encarregat ha incomplert les obligacions que li havia adreçat directament el responsable, serà ell qui es faci càrrec de la indemnització. En canvi, si tots dos han participat en la producció del dany, la responsabilitat és solidària. En aquest cas, la persona que ha patit el dany pot exigir la totalitat de la indemnització a qualsevol dels dos. Després, l'entitat que se’n faci càrrec, sigui el responsable o l’encarregat, pot reclamar a l’altre la part d’indemnització que li correspongui.

LOCUTOR: I ja per acabar, quan finalitza la relació entre el responsable i l'encarregat, què hem de fer?

EVA: En la mesura que l’encarregat ja no tractarà dades per compte del responsable, s’han de retornar les dades, o bé s'han de destruir, segons s’hagi indicat en el contracte. L’encarregat, però, pot conservar, degudament bloquejades, les dades en la mesura que es puguin derivar responsabilitats de la seva relació amb el responsable del tractament.

Tancament

LOCUTOR: Perfecte! Moltes gràcies, Eva, per ajudar-nos a entendre millor la figura de l'encarregat del tractament de dades.

EVA: Gràcies a vosaltres!

LOCUTOR: Tanquem aquí el segon capítol de "Parlem de dades". Avui amb Eva Garcia, coordinadora d'Investigació i Instrucció de l'Autoritat Catalana de Protecció de Dades, hem parlat de l'encàrrec del tractament de dades. És a dir, de tot el que cal fer quan una entitat aliena a la nostra organització duu a terme un servei que implica tractar dades personals. Per fer-ho hem aprofundit en la figura de l'encarregat del tractament, en les seves obligacions i en la seva relació amb el responsable.

Si voleu continuar aprofundint en aspectes relacionats amb la protecció de dades, no us perdeu el pròxim capítol de "Parlem de dades"!

Torna a munt
× Tanqueu els crèdits
Autoria i llicència
  • Els continguts han estat elaborats per experts en la matèria de l'Autoritat de Protecció de Dades de Catalunya, que intervenen en els diferents episodis.
  • Coordinació tècnica i pedagògica: Servei de Formació per a la Generalitat (EAPC).
  • Imatge de portada sobre dades personals de Gerd Altmann, CC domini públic, publicada a Pixabay

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i d'acord amb el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa. N'autoritza, doncs, l'ús amb les condicions següents:

  • citant-ne font i autoria;
  • amb finalitats no comercials, i
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència.

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons.

Així mateix, s'hi inclouen referències a materials d'altres autors degudament consignades, per a l'ús de les quals cal atenir-se a les llicències corresponents.