El 25 de maig ha entrat en vigor el Reglament 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en allò referent al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD).
Aquesta nova regulació, que per primera vegada es fa a través d'un reglament europeu, comportarà canvis significatius en la protecció de dades de caràcter personal, tant des del punt de vista dels drets de les persones com de les obligacions de les persones i entitats que tracten dades de caràcter personal.
La Llei 9/2017, de 8 de novembre, de contractes del sector públic (LCSP), a la disposició addicional 25 regula els contractes públics que impliquen el tractament de dades de caràcter personal, de la mateixa manera que ja ho feia el Text refós de la Llei de contractes del sector públic, aprovat pel Reial decret legislatiu 3/2011, de 14 de novembre.
Tot i no establir cap novetat respecte del redactat anterior i continuar establint que els contractes regulats en la LCSP que impliquin el tractament de dades de caràcter personal han de respectar en la seva integritat la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i la normativa de desenvolupament, sense fer cap referència expressa al nou Reglament, a partir d’ara la disposició addicional 25 s’ha d’interpretar tenint en compte el RGPD.
Dins de l’àmbit de la contractació pública, ens podem trobar dos supòsits diferenciats de contractes que impliquen tractament de dades personals: d’una banda, els contractes de serveis l’objecte principal dels quals és el tractament de dades personals i, de l'altra, els contractes que, com a conseqüència de la prestació principal que s’ha d’executar, comporten el tractament de dades personals. En ambdós casos s’han de complir les exigències del RGPD i respectar el nou règim jurídic que estableix.
L’encarregat del tractament de dades
L’encarregat del tractament és la persona física o jurídica, autoritat pública, servei o organisme, que presta al responsable un servei que comporta el tractament de dades personals per compte d’aquest. Per distingir entre responsable i encarregat del tractament de dades personals s’ha de tenir clar que al responsable li correspon decidir sobre la finalitat i els usos de la informació, i l’encarregat ha de complir les instruccions que li dona el responsable sobre com ha de fer el tractament de les dades personals a les quals té accés com a conseqüència de la prestació d’aquest servei.
La LCSP (DA 25) estableix que quan un contractista, arran de la prestació que ha d’executar, tingui accés a dades de caràcter personal del tractament de les quals en sigui responsable l’entitat contractant, automàticament adquireix la consideració d’encarregat del tractament de les dades de caràcter personal i, per tant, ha de complir com a encarregat tot el que estableix el Reglament.
Relacions entre el contractista–encarregat del tractament amb l’ens contractant
Amb relació a la regulació de les relacions entre el contractista-encarregat del tractament i l’entitat pública contractant, la disposició addicional 25 estableix que s’ha de complir l’article 12.2 de la Llei 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i ara, a més, des de l’entrada en vigor del RGPD, també cal atenir-se a aquest reglament i, concretament, pel que fa a la regulació del tractament de dades, al que disposa l’article 28 del RGPD.
La determinació d'aquest tractament de dades personals s'ha de fer mitjançant un contracte o acte jurídic similar, que obligatòriament ha de ser sempre per escrit i pot tenir format electrònic. En aquest contracte, segons els articles 12.2 de la LOPD i 28.3 del RGPD, s’hi ha d'establir expressament que:
- l'encarregat del tractament únicament ha de tractar les dades conformement a les instruccions del responsable del tractament.
- l’encarregat no pot aplicar o utilitzar les dades amb finalitats diferents a les que figurin en el contracte.
- l’encarregat no pot comunicar les dades, ni tan sols per conservar-les, a altres persones.
A més, ha d'incloure el contingut mínim següent:
- Totes les instruccions del responsable del tractament: s'ha de documentar de manera precisa quines són les instruccions respecte de l’encàrrec realitzat. S’han d’identificar clarament quins són els tractaments que ha de dur a terme.
- Establir el deure de confidencialitat.
- Establir mesures de seguretat.
- Regular la subcontractació.
- Establir els drets de les persones interessades.
- Determinar com serà la col·laboració de l’encarregat en el compliment de les obligacions del responsable.
- Establir el destí de les dades un cop finalitzada la prestació dels serveis del tractament.
- S'ha de posar a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions establertes a l’article 28 del RGPD.
Conseqüentment, s’han de revisar tots els serveis que comportin un tractament de dades de caràcter personals i adequar-los al nou règim jurídic que estableix el RGPD.
L’Autoritat Catalana de Protecció de Dades ha elaborat una guia en relació amb l’encarregat del tractament, on s’inclouen en annex uns models de clàusules per orientar els responsables i que aquests les puguin adaptar a les seves necessitats (http://apdcat.gencat.cat/ca/documentacio/RGPD/altres_documents_dinteres/guia_sobre_lencarregat_del_tractament_al_rgpd/).
Elecció de l’encarregat del tractament de dades
Pel que fa a l’elecció de l'encarregat del tractament de dades, l’article 25 del RGPD obliga el responsable del tractament a aplicar mesures tècniques i organitzatives, com la pseudonimització o la minimització de dades, concebudes per aplicar de manera efectiva els principis de protecció de dades, i integrar les garanties necessàries en el tractament, amb la finalitat de complir els requisits del Reglament i protegir els drets de les persones interessades. Així mateix, ha de procurar que només siguin objecte de tractament les dades personals necessàries per a cada una de les finalitats específiques del tractament; aquesta obligació s’aplica a la quantia de dades personals recollides, a l’extensió del seu tractament, al termini de conservació i a l’accessibilitat de les dades. Totes aquestes mesures han d’anar encaminades a garantir que les dades personals no siguin accessibles a un nombre indeterminat de persones físiques sense la intervenció de la persona interessada.
A més, quan el tractament el realitzi un encarregat, el responsable del tractament ha d'escollir qui li ofereixi garanties suficients per aplicar i mantenir les mesures tècniques i organitzatives apropiades, d’acord amb el que estableix el RGPD, i que garanteixi la protecció dels drets de les persones interessades.
La consideració 81 del RGPD estableix que el responsable del tractament, en encomanar activitats de tractament a un encarregat, ha de recórrer únicament a encarregats que ofereixin prou garanties, en particular en allò referent a coneixements especialitzats, fiabilitat i recursos, amb vista a l’aplicació de mesures tècniques i organitzatives que compleixin els requisits del Reglament, inclosa la seguretat del tractament.
Això comporta que el responsable del tractament no pot triar qualsevol encarregat, sinó que l’ha d’escollir amb la diligència deguda. En conseqüència, les entitats contractants responsables de tractaments de dades personals, quan licitin un contracte que impliqui un tractament per part del contractista de dades de caràcter personal, tenen l’obligació de valorar i d’escollir un encarregat que ofereixi les garanties suficients per complir el Reglament (article 28.1 del RGPD).
Pel que fa als contractes adjudicats amb anterioritat a l’entrada en vigor del RGPD, també cal valorar si els adjudicataris compleixen els requisits exigits pel nou RGPD als encarregats de tractament de dades personals.
Subcontractació del tractament de dades personals
El contractista pot subcontractar el tractament de les dades a un tercer, que també té la consideració d’encarregat del tractament. L’apartat 3 de la disposició addicional 25 estableix que el subcontractista ha de complir els requisits següents:
a) Que el tractament pel subcontractista s'hagi especificat en el contracte signat per l'entitat contractant i el contractista.
b) Que el tractament de dades de caràcter personal per part del subcontractista s'ajusti a les instruccions del responsable del tractament.
c) Que el contractista encarregat del tractament i el tercer (subcontractista) formalitzin un contracte en els termes que disposa l'article 12.2 de la Llei orgànica 15/1999, de 13 de desembre (no només s’ha de formalitzar el contracte en els termes establerts per aquest article, sinó també s’ha d’incloure el contingut mínim que estableix l’article 28 del RGPD).
El RGPD estableix que el contractista només pot recórrer a la subcontractació si té l’autorització per escrit, específica o general, del responsable. L’encarregat ha d'informar el responsable de qualsevol canvi previst en la incorporació o substitució d’altres encarregats, i així dona al responsable la possibilitat d’oposar-se a aquests canvis (article 28.2).
Ha de quedar clar que el subcontractista-encarregat del tractament és subjecte, exactament, a les mateixes condicions i en la mateixa forma que l’encarregat del tractament en relació amb el tractament adequat de les dades personals i la garantia dels drets de les persones afectades. En el supòsit que el subcontractista-encarregat del tractament incompleixi aquestes obligacions i condicions, l’encarregat inicial, contractista, continua sent plenament responsable del compliment de les obligacions davant del responsable del tractament.
Conclusions
En els contractes ja adjudicats i en els contractes que s’adjudiquin amb posterioritat a l’entrada en vigor del RGPD, el tractament de dades s’ha d’adequar al que estableix el Reglament, i si escau cal fer les modificacions que siguin necessàries per complir-lo, ja que, com s’ha vist, el Reglament en molts aspectes excedeix el que regula la LOPD, com en el cas del contingut mínim de la regulació del tractament de l’encarregat.
Així doncs, tots els contractistes que tinguin la condició d’encarregats del tractament de dades de caràcter personal s'han d'atenir als requeriments del nou reglament comunitari, així com els subcontractistes que actuïn per compte del contractista, si n’hi ha, amb independència que el contracte amb el sector públic s’hagi formalitzat abans o després de l’entrada en vigor del RGPD.