jueves, 17 de noviembre de 2016

Sí, Quiero (ser tu Encargado de Tratamiento). Pues firma aquí, ricura.


¡Hola hola!

Retomo el blog con un tema que últimamente me está dando no pocos quebraderos de cabeza: las complicadas relaciones con los encargados de tratamiento. Por si pasas por aquí por primera vez y esto te suena a chino, te voy a presentar al Encargado de Tratamiento tal y como lo hace la LOPD:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.


LOPD, Encargado de tratamiento, Transferencia Internacional, Contrato
Para aclarar el tema, el Encargado de Tratamiento es el que "trastea" con los datos siempre bajo las órdenes e instrucciones del que verdaderamente decide lo que hacer con ellos, que no es otro que el Responsable (y aquí te dejo otro post de la menda para que veas por dónde van los tiros). Bien, en definitiva (y acorde con lo que hemos visto): el Encargado es "el mandao". Ejemplos de Encargados de Tratamiento hay a punta pala: desde el hosting de tu web hasta la agencia de publi a la que le has encargado un concurso o la asesoría que te lleva todo lo de laboral. La LOPD no sólo te dice quién es el Encargado de Tratamiento, también te dice que tienes que establecer unas reglas para que "el mandao" tenga claro que sólo puede trastear los datos siguiendo tus instrucciones y que no los va a usar para otra cosa que no sea lo que tú le traslades en esas reglas. Además, esas reglas incluirán las medidas de seguridad que debe implantar sobre esos datos y podrá preverse el destino de los datos cuando el Encargado termine su trabajo sobre ellos. Esto lo tienes en el art. 12 de la LOPD, el cual dice también que estas reglas deberán estar  en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Y aquí mi primer briconsejo: Por escrito SIEMPRE. La LOPD dice CONTRATO, NO DICE "condiciones de uso de una web"; ojocuidao que el matiz es canela fina.


Hasta aquí todo claro: Si hay Encargado, debe haber contrato. Y esa es la regla general. Otra cosa es que luego la cosa se complica porque nos encanta una app que ofrece una empresa en USA o en la Conchinchina (y que, por supuesto, tiene los servidores que la soportan o allí o en Groenlandia) y se nos olvida. Y para los problemas de memoria, además de las pasas, este link de la propia AEPD es imprescindible: 

Descifrando...


1) ¿Encargado de tratamiento? CONTRATO
2) ¿Los negocios con nuestro Encargado de Tratamiento suponen una transferencia internacional? Resumiendo, las opciones son dos:
         a) CONTRATO (si el país de destino de los datos tiene nivel adecuado de protección, cosa que no decido yo).
          b) CLÁUSULAS TIPO + AUTORIZACIÓN DE LA DIRECTORA DE LA AEPD (para lo cual hay que seguir un procedimiento muy clarito que tenéis perfectamente explicado en el link que os he pegado de la AEPD). 

LOPD, Encargado de tratamiento, Transferencia Internacional, Contrato

Y ojo, ojazo: LOS DOCUMENTOS ES PREFERIBLE QUE VAYAN EN CASTELLANO. Cualquier cosa de estas que firmes en inglés, arameo o esperanto te va a poner obstaculillos para defenderte, según lo que me han dicho varios operadores de la AEPD. Me insisten en que son conscientes de que muchas empresas están guardando como oro en paño sus documentos en inglés y eso no es un escudo antiproblemas. Como consejo: mejor tenerlo en castellano, que es un idioma muy majo.


(Las reglas corporativas vinculantes las dejo fuera del post porque me centro en las relaciones básicas con los Encargados de Tratamiento).

Todo esto que es tan fácil y mecánico en la práctica se vuelve casi una pesadilla, sobre todo cuando hablamos de un Encargado de Tratamiento "lejano", ya que es muy raro el que se presta a colaborar y a seguir el procedimiento de firmar básicamente lo que es un contrato. 


LOPD, Encargado de tratamiento, Transferencia Internacional, Contrato


Las excusas más típicas son: 

- Yo tengo mis medidas de seguridad bien puestas en mi web. FAIL (vuelve a leer arriba: CONTRATO). 
Me da igual lo que tengas puesto en la web ya que a eso no me puedo agarrar si la lías con los datos que te confío. ¿Qué parte de "contrato" no entiendes?

- Yo estoy en Privacy Shield. FAIL (vuelve a leer arriba: CONTRATO). 
Te pego EL LITERAL de lo que dice la AEPD: "Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD". 

- No voy a ir yo a cambiarle las reglas a una empresaca como XXX. FAIL
No es que vayas a cambiarle las reglas, es que necesitas garantías de que se va a portar bien. ¿O es que dejarías a tu pequeño y tierno gatito al cuidado de Jack El Destripador? Además que es que inviertes en tranquilidad, porque a la primera puerta que va a llamar la AEPD si hay problemas es a la tuya. No creo que de buen rollo tu Encargado piratilla vaya a sacar su espada para defenderte. 



Llegados hasta aquí, y sin ánimo de asustar al personal, te voy a pegar lo que dice el art. 20.2 del Reglamento de la LOPD para que veas que esto es sólo la puntita del Iceberg:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

Es decir: a lo que ya nos ha quedado claro (el contrato) le unimos otro lío más (la obligación de velar porque el Encargado reúna las garantías de que cumple lo dispuesto en el Reglamento).  ¿Y esto cómo se hace? Pues cada maestrillo tiene su librillo, por lo que no me siento capaz de darte una respuesta rotunda. Lo que sí te puedo decir es que mirar si tiene ficheros declarados en la AEPD NO ES SUFICIENTE (que además, si no hay cambios a la vista, tendrás que cambiar de truquillo en año y pico, por cierto).


LOPD, Encargado de tratamiento, Transferencia Internacional, Contrato


Consejos finales:

- Sé selectivo y escrupuloso con tus Encargados de Tratamiento.
- Ponte pelmazo para firmar contrato EN CASTELLANO. Si te encuentras con un "no", lo deseable sería no establecer relaciones con ese proveedor. 
- Una vez firmado el contrato, disfruta de tu amor con tu Encargado pero pídele que de vez en cuando te haga saber que él también te quiere en forma de pruebas de que se sigue portando bien (es decir, que te acredite que va cumpliendo lo que le pediste).


Y hasta aquí el post de hoy. Espero que te haya parecido interesante y que pases una estupenda semana.

LOPD, Encargado de tratamiento, Transferencia Internacional, Contrato



Pdt: Por cierto, ya que publico hoy esto quiero recordarte que este sábado es un buen momento para seguir reivindicando una Justicia SIN TASAS, CON MEDIOS E INDEPENDIENTE. Te pego el link con más info y te animo encarecidamente a que te apuntes: la lucha sigue porque los motivos no han dejado de existir. Si estás por allí...¡no te olvides de saludarme!