El encargado del tratamiento de la ley orgánica de protección de datos de carácter personal
El encargado del tratamiento de la ley orgánica de protección de datos de carácter personal
(Imagen: E&J)
I.- Antecedentes
La LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal) ya establecía, ex artículo 27 que, en aquellos casos en que un tercero prestase servicios de tratamiento automatizado de datos de carácter personal, por cuenta del titular y responsable de un fichero de datos, éste no podía aplicar o utilizar los datos obtenidos para fin distinto al que figure en el contrato de servicios. No obstante es en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) cuando se regula expresamente la figura del «encargado del tratamiento´´.
II.- Trascedencia Jurídica
Dicha nueva figura supone importantes y trascendentales implicaciones tanto en la esfera jurídica del titular del fichero o base de datos, como en la esfera jurídica del proveedor de servicios, en los supuestos en que aquél (la empresa titular del fichero) debe revelar a éste (el proveedor de servicios) determinados datos personales de su titularidad y, lo que es más importante, de su responsabilidad, para que éste le pueda prestar un concreto servicio.
En la práctica diaria del asesoramiento mercantil y, más concretamente, contractual, nos encontramos con que, si bien las empresas que disponen, como un activo y herramienta fundamental de su actividad comercial, bases de datos o ficheros con datos personales, de los que son titulares y responsables, presentan, hoy en día, un evidente mayor grado de concienciación respecto de la existencia de la LOPD y de las obligaciones que les impone la LOPD así como el Reglamento de Medidas de Seguridad respecto de la creación, tratamiento y mantenimiento de los ficheros, sigue existiendo, no obstante, un importante desconocimiento, por otro lado lógico -dados los términos ambiguos en los que está redactada la LOPD- respecto de qué se entiende por «encargado del tratamiento´´ y, lo que es más importante, cuales son los beneficios que, desde un punto de vista de seguridad jurídica, puede aportar dicha figura en su esfera jurídico-patrimonial, y más concretamente, en orden a las gravosas responsabilidades administrativas que establece la LOPD.
III.- Definición
La LOPD, en su artículo 3, introduce la figura del «encargado del tratamiento´´ que se define como sigue:
«g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.´´
A modo de ejemplo práctico, el proveedor al que una empresa o empresario le encarga un servicio consistente en la elaboración de un mailing para felicitar la fiestas navideñas a sus clientes y al que, por tanto, se le deberán revelar los datos de éstos para que pueda personalizarlos en un mailing; o, en otro caso más extremo, el proveedor que realiza por cuenta de la empresa titular de una base de datos, los servicios de outsourcing para la gestión integral de su base de datos o fichero, serán claramente «encargados del tratamiento´´
IV.- Contrato entre responsable y encargado del tratamiento de datos
El artículo 11 de la LOPD, («comunicación de datos´´) establece que la revelación de datos personales efectuada a tercero constituye una verdadera «cesión de datos´´ que requerirá, entre otras cosas, el haber obtenido, con carácter previo, el «consentimiento´´ del interesado.
Ahora bien, no resultará preceptivo obtener el referido «consentimiento´´ del afectado (artículo 12) en los casos en los que la revelación de datos a un tercero responda a la necesidad para la prestación de un servicio a favor y por cuenta de la empresa titular del fichero. En estos casos, se exige que dicha relación de prestación de servicios entre cliente (titular y responsable del fichero o base de datos) y el proveedor (prestador del servicio por cuenta del titular «encargado del tratamiento´´) venga reflejada y regulada necesariamente en un contrato por escrito, estableciéndose expresamente en el mismo, al menos, los siguientes términos o condiciones:
ÁƒÅ¸ que el proveedor del servicio («encargado del tratamiento´´) únicamente tratará los datos que le han sido revelados conforme a las instrucciones del «responsable del tratamiento´´;
ÁƒÅ¸ que no aplicará o utilizará los datos a los que ha tenido acceso con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a terceros; y
ÁƒÅ¸ que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
Además, en dicho contrato escrito deberán acordarse y establecerse las concretas «medidas de seguridad´´, a que se refiere el artículo 9 de la LOPD, «Seguridad de los Datos´´, que el «encargado del tratamiento´´ estará obligado a cumplir; medidas de seguridad que deberán determinarse en función de la naturaleza y la sensibilidad de los datos revelados para la prestación del servicio. Los distintos niveles de medidas de seguridad a aplicar vienen definidos y regulados en el referido Reglamento de Medidas de Seguridad.
V.- Responsabilidad del encargado del tratamiento
De todos es sabido, sólo hay que leer la prensa diaria o asistir a los numerosos seminarios que se han llevado en relación con la LOPD, las importantes y cuantiosas sanciones económicas a las que puede verse expuesto el titular y responsable de un fichero, causa de las diversas y numerosas infracciones previstas en la LOPD. En el marco de la vieja LORTAD, cualquier infracción relativa al tratamiento de los datos personales podía suponer, de forma automática, la responsabilidad administrativa directa del empresario titular del fichero, al considerarse a éste, también, como responsable del correcto uso de los datos personales. Y ello, atendiendo a la definición que los artículos 3 y 42 de la LORTAD otorgaban al «responsable del fichero´´.
En mi opinión, con la introducción en la LOPD de la figura del «encargado del tratamiento´´, se viene a configurar un nuevo escenario en materia de responsabilidades administrativas por infracciones de la LOPD, que podría llegar a suponer la exoneración del titular del fichero de aquellas infracciones que puedan resultar imputables al «encargado del tratamiento´´.
Así, en el supuesto de que se dé por el proveedor de un servicio y «encargado del tratamiento´´ un uso inadecuado de los datos a los que ha tenido acceso para la prestación del servicio encomendado por el empresario titular del fichero, no sólo podrá y deberá responder frente a éste, en base a las normas de nuestro Código Civil, que regulan la culpa contractual, sino que podrá ser, asimismo, sujeto responsable de las importantes sanciones administrativas que prescribe la LOPD.
Ello, se deduce claramente del apartado 4 del artículo 12 de la LOPD cuando dispone:
«4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.´´
Por otro lado, el artículo 43 de la LOPD («Responsables´´) bajo el Título VII («Infracciones y Sanciones´´) ya introduce expresamente, como sujeto del régimen sancionador que dispone la LOPD, al «encargado del tratamiento´´.
Así, dicho artículo, dispone:
«1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.´´
VI.- ¿Exoneración de responsabilidad del titular del fichero?
No obstante lo anterior, se plantea la cuestión, más que relevante, sobre si una infracción imputable al «encargado del tratamiento´´ puede llegar a suponer la exoneración del empresario, titular del fichero, de las responsabilidades y sanciones administrativas que prescribe la LOPD o, como sostienen algunos autores, estaríamos, en cualquier caso, ante un supuesto de «responsabilidad solidaria´´ (vid obra citada en Bibliografía)
Si bien esta es una opinión aceptable y conservadora, no es menos cierto que desde el momento en que la LOPD incorpora y regula de forma expresa la figura del «encargado del tratamiento´´, como figura distinta del titular del fichero y sujeta al régimen sancionador (ex. art. 43.1. de la LOPD), y atendiendo a la interpretación restrictiva que en derecho sancionador (punitivo) debe regir en Derecho Administrativo, de verificarse una infracción imputable al «encargado del tratamiento´´, entiendo existen claros argumentos sólidos para sostener la exoneración del empresario titular del fichero de la responsabilidad administrativa prevista en la LOPD.
Ello, obviamente, siempre y cuando se acredite que el único «autor´´ de la infracción administrativa ha sido exclusivamente el «encargado del tratamiento´´.
Siguiendo esta línea interpretativa, a cambio, la LOPD exige lógicamente al titular del fichero un actuar diligente. En este sentido, y entre otras cuestiones a tener en cuenta, el titular del fichero deberá asegurarse de que cualquier prestación de servicios que comporte la revelación de datos a un tercero-proveedor de un servicio, por muy insignificante que ésta pudiera parecer, se formalice siempre mediante la suscripción de un documento o contrato por escrito (ex. art. 12 de la LOPD), así como que se deje constancia y regule, en el mismo, las concretas obligaciones y garantías que el proveedor -«encargado del tratamiento´´- asume y se obliga a cumplir en relación con el tratamiento y uso correcto de los datos revelados, así como respecto de la aplicación de las medidas de seguridad que les sean aplicables.
...