El contrato de tratamiento de datos ¿le das la importancia que tiene?
Tanto si manejas datos personales de tus clientes, trabajadores, usuarios, etc como si prestas servicios profesionales o comerciales que impliquen acceder a datos de tus clientes, dale la importancia que se merece a estos contratos.
Invito a los lectores de este post a que hagan un ejercicio de trasladar una cuestión jurídica y de cumplimiento como es el contrato de tratamiento de datos o de «encargo de tratamiento» al ámbito de lo cotidiano.
Imaginemos que estamos buscando a una persona que cuide a nuestro hijo/hija. Difícil elección. A los hijos no los dejamos con cualquiera. Después de descartar las opciones «de casa»: «tú vienes antes del trabajo» o «yo cambio el horario», lo normal, es acudir a amigos y conocidos para preguntar. Algunos inclusos buscan «agencias» especializadas o incluso ludotecas u otras opciones. Empieza la selección.
Lo que tenemos claro es que es una elección delicada: la persona que se quedará con nuestro retoño tendrá margen de acción: le llevará al parque, le preparará o comprará la merienda, decidirá si hace buena tarde para dar un paseo o si se queda jugando con otros niños un rato más a la salida del colegio, si hace frío le pondrá el abrigo y si hace mala tarde se irá a casa donde evitará tenerle frente a la televisión toda la tarde… En definitiva, tomará decisiones y si es una persona responsable, serán acertadas y estaremos encantados.
Pero si esa persona se extralimita de sus «funciones» y en lugar del bocadillo correspondiente le compra a diario chuches y bollería industrial, se lo lleva de «parranda» a hacer cosas no propias de niños o incluso a casa de un conocido, no sólo no nos parecerá bien sino que estará poniendo en peligro a nuestro bien más preciado.
Con los datos y los encargados de tratamiento pasa algo parecido.
Son muchas las gestiones que las empresas y profesionales se ven obligadas a externalizar: sin ir más lejos: la gestión laboral, contable y fiscal, los servicios de hosting, de correo electrónico, de copias de seguridad, de gestión y mantenimiento de la web son servicios más que habituales que se encomiendan a terceros a cambio de una contraprestación.
Esos terceros (los encargados de tratamiento) acceden a datos personales de los que es Responsable la empresa o el profesional (es decir, acceden a nuestro «niño»). Y tienen una obligación de «buen hacer» que debe recogerse en un contrato con unas especificaciones concretas: las descritas en el artículo 28 del Reglamento UE 2016/679 General de Protección de Datos (RGPD o GDPR).
- No pueden hacer con los datos lo que quieran: sino lo que el Responsable les haya indicado: lleva al niño a judo después de merendar y después a casa.
- No pueden subcontratar sin autorización (a veces se autoriza la subcontratación de servicios auxiliares pero no del servicio en sí mismo: te dejo que compres la merienda en algún sitio pero no te dejo que sea otra persona distinta de tí la que cuide a mi descendencia…)
- Por supuesto que tiene que cumplir con el RGPD y adoptar medidas de seguridad suficientes para garantizar la confidencialidad de los datos (¿no le exigimos algo parecido a nuestra persona de confianza niñero/a? ¿Qué menos que no cruce por sitios peligrosos, que sea responsable, que tenga higiene, en definitiva… que sea diligente).
- Por eso son tan importantes estos contratos. Y antes de su firma, es imprescindible elegir bien al proveedor. Y cuanto más crítico sea ese proveedor, más exigente debemos ser. Tal es así que el RGPD dice que: el responsable «elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.»
- Hay que explicar el servicio concreto contratado, el tipo de datos a los que se va a acceder (cuanto más detalle mejor), las operaciones que se realizarán con los datos, dónde estarán los datos, qué se hará con ellos cuando la relación expire…
Si nuestra gestoría, de pronto, pierde los datos (es un caso real) fruto de una brecha de seguridad, es posible que perdamos todos los datos contables (en el caso de las pequeñas empresas, toda la información la suele almacenar la gestoría, al menos en el año fiscal en curso).
Mediante el contrato de tratamiento de datos, la gestoría se compromete a estar preparada para este tipo de contingencias y por ello deberá tener copias de respaldo y medidas de seguridad acordes con el tipo de datos que custodia. Si no lo cumple, se le podrán exigir responsabilidades. También debe restringir el acceso a los datos y formar a su personal….
En lugar de nuestros hijos, tratan nuestros datos, que en una empresa es un bien preciado que se debe proteger y cuidar.
Si la Agencia Tributaria un día nos pide las cuentas y resulta que nuestra gestoría no las tiene… nosotros seremos responsables pero podremos exigir, a su vez, responsabilidades a nuestro proveedor por no haber cumplido lo pactado.
Y si resulta que la gestoría tiene intención de subcontratar servicios auxiliares que estén fuera de la Unión Europea (es decir, nos llevamos al niño fuera del barrio), debe indicarse y autorizarse expresamente e indicar las garantías que tienen dichos servicios.
Firmar sin más un contrato de tratamiento de datos es entregar a nuestro hijo sin poner condiciones ni examinar los detalles del servicio. Los contratos no tienen por qué ser complicados: pueden formar parte del clausulado del propio contrato de servicios, o adjuntarse en anexo o incluso constituir un contrato independiente. Todo vale pero siempre que se haga bien, que lo que se recoge obedezca a la realidad y no se firme un mero «modelo» que nadie se revisa o cuestiona.
¿O es que le dejamos que hagan con los datos cualquier cosa? En todo caso, las relaciones se basan también en la confianza pero ahora que leo lo escrito… ¿no deberíamos firmar también contratos con los cuidadores?
#losdetallesimportan
Paz Martin
Agosto 2021