La figura de l'encarregat del tractament no és una figura creada ex novo pel Reglament general de protecció de dades (RGPD) i, en termes generals, la seva regulació no ha variat gaire respecte de la que establia l'antiga Llei orgànica de protecció de dades personals. Però, atès que el RGPD varia substancialment la perspectiva de compliment de les obligacions que regula, ja que la responsabilitat proactiva i l'enfocament en el risc es converteixen en pilars de la manera de tractar les dades personals, també varia la manera en què el responsable i l'encarregat han d'afrontar el compliment del conjunt de les seves obligacions.
Característiques de l'encarregat del tractament
L'encarregat del tractament és la persona física o jurídica, autoritat pública, servei o organisme que presta al responsable del tractament un servei que comporta el tractament de dades personals per compte d'aquest. És a dir, és una persona o organisme que presta un servei a un altre, el responsable del tractament, i que per fer-ho, d'una manera o d'una altra, "veu" o "pot veure" dades personals dels tractaments del responsable. En aquesta definició, no entren, per exemple, els treballadors del responsable del tractament.
Els tipus d'encarregat i les formes de regular-ne la relació amb el responsable poden ser tan variades com els tipus de serveis que es poden prestar i que comporten un accés directe, indirecte o accidental a dades personals. Per exemple, serveis que tenen com a objecte principal el tractament de dades personals (com ara una empresa o entitat pública que ofereix un servei de confecció de nòmines o d'allotjament d'informació en els seus servidors) o encarregats que tracten dades personals de manera indirecta o accidental quan presten un servei (l'entitat que ens arregla els ordinadors), però també pot ser-ho el gestor d'un servei públic municipal.
En tot cas, recordeu que correspon al responsable decidir sobre la finalitat i els usos de la informació, mentre que l'encarregat del tractament ha de complir les instruccions del responsable sobre el tractament de les dades personals a què pugui tenir accés.
També cal tenir en compte la disposició addicional 25 de la Llei 9/2017, de 8 de novembre, de contractes del sector públic (LCSP), que estableix que si la contractació implica l'accés del contractista a dades personals del tractament de les quals és responsable l'entitat contractant, el contractista té la consideració d'encarregat del tractament.
Finalment, atès que no és una figura nova, i que ja havia estat àmpliament analitzada, només faré referència a les qüestions que em semblen especialment interessants o importants de recordar:
Primer. Cal adaptar al RGPD els acords d'encarregat del tractament anteriors al 25 de maig del 2018?
Els contractes d’encàrrec anteriors a la plena aplicabilitat del RGPD s’han d'adaptar al que estableix l’article 28 del RGPD. D’acord amb la disposició transitòria cinquena de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), els contractes i els acords d’encàrrec del tractament establerts abans del 25 de maig del 2018 mantenen la vigència fins a la data de venciment assenyalada i, si es tracta d’encàrrecs amb durada indefinida, mantenen la vigència fins al 25 de maig del 2022.
Però, això sí, mentre el contracte o l'acord estigui vigent, qualsevol de les parts en pot exigir la modificació per adaptar-lo al que estableix l’article 28 del RGPD.
Ja que ens estem fixant en allò que comporta un canvi especial, recordeu que una de les parts que, gairebé segur, caldrà modificar en els acords o els contractes d'encarregat, és la relativa a les mesures de seguretat que cal aplicar. El principi d'enfocament en el risc, recollit també en l'article 32 del RGPD, obliga a avaluar els riscos de l'activitat de tractament per determinar les mesures de seguretat més idònies per garantir la seguretat de la informació tractada i els drets de les persones afectades. Per tant, les mesures de seguretat no estan determinades a priori, com passava en el Reglament de l'antiga LOPD, sinó que és el nivell de risc existent el que determina les mesures a aplicar.
Les mesures de seguretat concretes es poden determinar amb una llista exhaustiva o amb una remissió a un estàndard o marc nacional o internacional reconegut. Però, en l’àmbit del sector públic, aquestes mesures de seguretat s'han d’ajustar a l’Esquema Nacional de Seguretat.
A més, seguint el principi d'enfocament en el risc, l’encarregat també ha d’avaluar si hi ha riscos addicionals tenint en compte els mitjans que utilitza (tecnologies, recursos, etc.) i altres circumstàncies que puguin incidir en la seguretat dels tractaments.
Segon. Quins criteris ha de seguir el responsable del tractament per escollir un encarregat del tractament?
El RGPD, d'acord amb el principi de responsabilitat proactiva, estableix que el responsable ha de triar un encarregat que ofereixi prou garanties respecte de la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d'acord amb el que estableix el RGPD, i que garanteixi la protecció dels drets de les persones afectades. Aquest mateix principi exigeix que el responsable pugui demostrar que ha escollit l'encarregat més adequat. A més, el considerant 81 del RGPD disposa que l'encarregat ha d'oferir prou garanties pel que fa a coneixements especialitzats, fiabilitat i recursos, amb vista a l'aplicació de mesures tècniques i organitzatives que compleixin els requisits del RGPD, incloent-hi la seguretat del tractament.
Altrament, la LOPDGDD regula les mesures de responsabilitat proactiva dins del títol V, relatiu al responsable i a l'encarregat del tractament. Per tant, l'encarregat també resta subjecte a les obligacions establertes en els articles 24 i 25 del RGPD: responsabilitat proactiva, enfocament en el risc i protecció de dades des del disseny i per defecte. De fet, si no fos així, el responsable com podria afirmar que ha triat un encarregat que ofereix prou garanties?
Tercer. Com s'han de regular les relacions entre el responsable i l'encarregat del tractament?
La relació s'ha d'establir en un contracte o en un acte jurídic similar que els vinculi.
El RGPD obre la porta a regular la relació mitjançant un acte jurídic unilateral del responsable. Però, en aquest cas, l'acte ha de vincular l'encarregat i establir i definir la posició de l'encarregat (p. ex., una resolució administrativa que consti que s'ha notificat a l'encarregat).
Quart. Cal informar les persones interessades que s'ha contractat un encarregat del tractament?
Tot i que la LOPDGDD no considera que l’accés de l’encarregat sigui una comunicació de dades i, per tant, no seria obligatori informar-ne, hem de tenir en compte que el RGPD reforça el principi de transparència respecte dels tractaments de dades realitzats, per tant, en determinats casos, podria ser recomanable que se n'informi.
Per determinar fins a quin punt és o no recomanable informar que les dades són tractades per un tercer, podem tenir en compte circumstàncies com ara:
- La naturalesa del tractament.
- Les dades tractades.
- El fet que les dades es tractin a la seu i en els sistemes de l'encarregat.
- El fet que les dades es tractin fora de l'Espai Econòmic Europeu.
I, per descomptat, també cal aplicar-hi la responsabilitat proactiva i l'enfocament en el risc.
En resum
Bé, aquests només són alguns dels punts que considero especialment importants en el moment de revisar o fer de nou un acord o un contracte d'encarregat del tractament. Però, si la normativa de protecció de dades és, per si mateixa, una matèria molt casuística, la regulació de l'encarregat del tractament encara ho és més. Per tant, cal que el responsable valori en cada cas quina és la millor opció atenent al tractament que li encarreguen, el servei que es contracta, etc., perquè quedi com més clar millor les obligacions que corresponen a cada part (p. ex., qui facilita els drets a l'autodeterminació informativa, qui valora quan s'ha de notificar una violació de seguretat a l'autoritat de protecció de dades o qui l'ha de notificar).
Així, tot i que hi ha models de clàusules per ajudar a regular la relació entre el responsable i l'encarregat del tractament, com, per exemple, les que facilita l'Autoritat Catalana de Protecció de Dades, són això, un model, i cal adaptar-lo a cada cas per complir efectivament el principi de responsabilitat proactiva i d'enfocament en el risc.
La figura de l'encarregat del tractament és molt útil en la regulació de relacions amb tercers que han d'accedir a dades personals, però s'ha de regular adequadament i s'ha d'adaptar a cada cas. En cap cas eximeix de responsabilitat al responsable del tractament ni s'ha de convertir en un mecanisme per "externalitzar" el risc.