¿Puede un Encargado de Tratamiento (ET) requerir que sea el Responsable (RT), de manera unilateral, el que defina y concrete las medidas de seguridad en un Contrato de Encargado de Tratamiento?
Creo que todos podríamos llegar a la conclusión de que así es. Sin embargo, revisando la normativa con detalle, parece ser más un trabajo conjunto (al final de este artículo se analiza la normativa, pero vamos antes con los casos prácticos y dejemos la teoría para el final).
Por lo tanto, ¿podemos decir que siempre y para todo tipo de situaciones el Responsable debe decidir y escribir las medidas en el contrato?
Y también cabe preguntarse: ¿por qué el Encargado podría preferir que sea el Responsable el único que defina las medidas?
Analicémoslo desde diferentes enfoques.
1. El RT analiza y establece que no es necesario realizar una Evaluación de Impacto (EIPD)
En base a sus criterios, el RT descarta realizar la EIPD del Tratamiento con base en los nuevos servicios que va a contratar. Por ello, determina que no es necesario detallar medidas de seguridad en el Contrato de ET y le propone firmar un acuerdo estándar.
Si el Encargado de Tratamiento rechaza firmar dicho acuerdo estándar y requiere el detalle de las medidas, para mayor seguridad jurídica o por no estar de acuerdo con el análisis del RT, parece lo más razonable que sea él mismo quien aporte su propio análisis de riesgos y las medidas de seguridad que considere necesarias añadir al acuerdo.
2. El RT analiza y establece medidas de seguridad insuficientes
El RT, para mejorar su productividad, funcionalidad o desarrollar su negocio, puede contratar servicios o tecnologías cuyo detalle técnico desconoce. En estos casos, el análisis y definición de las medidas por parte del RT puede ser claramente insuficiente, al no identificar correctamente los riesgos.
¿Que responsabilidad tiene el ET como experto en sus servicios? En la normativa (ver detalle más adelante) se indica que “el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento”.
Parece claro, entonces, que el proveedor debe posicionarse como tercero de confianza en los servicios que está ofreciendo, colaborando en la definición de las medidas de seguridad que deben aplicarse a sus servicios.
Pero si el ET firma las medidas del Contrato de ET que le presenta el RT, ¿estaría exento de responsabilidad al no haber participado en la definición de las medidas?
A tenor de lo indicado en la norma, el responsable podría reclamar que el encargado no le informó de manera conveniente. Haciendo una analogía con una situación que supongo que todos podemos reconocer: ¿cuántas hipotecas o productos financieros se han firmado siguiendo las indicaciones de (supuestos) expertos financieros? Creo que todos podemos recordar los problemas y las responsabilidades derivadas de la contratación de servicios en los que el cliente no conocía con detalle lo que estaba firmando, por mucho que su firma estuviera al pie del contrato.
3. El RT ha analizado previamente el tratamiento y la EIPD es no necesaria, pero los nuevos servicios contratados aumentan los riesgos
Aunque la teoría nos haga pensar que las EIPD hay que realizarlas a nivel de tratamiento, la práctica nos enseña que la contratación de proveedores, servicios o tecnologías pueden cambiar los riesgos del mismo, quizás no en su conjunto pero sí en la parte que ese proveedor intervenga.
En esos casos, ¿es necesario hacer un EIPD de todo el tratamiento y establecer medidas de manera general? ¿No tendría más sentido analizar la solución concreta o servicio que ofrece el proveedor y no todo el tratamiento?
En estos casos, la tendencia que creemos que irá creciendo es que muchos proveedores (servicios, soluciones, etc.) vengan con su EIPD “bajo el brazo”, junto con las medidas de seguridad que se deben incorporar al Contrato de ET y aplicar a o en sus servicios.
Incluso, desde el punto de vista de la transparencia, ya vemos proveedores que están publicando las EIPD de sus soluciones para aportar tranquilidad en su contratación. Lo podemos comparar con la documentación o “especificaciones técnicas” de productos, que en muchas normativas ya es obligatorio aportar para poder registrar y ofrecer los mismos. Es un camino con gran recorrido, pero en la dirección correcta.
4. Diferencias en función del entorno donde se prestan los servicios (del cliente o del proveedor)
En caso de que los datos no vayan a salir del entorno o la infraestructura del RT, la lógica nos puede hacer pensar que la definición de medidas de seguridad deben ser únicamente responsabilidad del RT, ya que el ET no puede intervenir en dichas medidas de seguridad.
Este razonamiento es aceptable en cuanto a las medidas de seguridad que se aplican al entorno o la infraestructura que alberga los datos. Por ejemplo: backup, disponibilidad, contigencia, control de accesos, arquitectura, control sobre el software instalado, antivirus/antimalware, cifrado, vulnerabilidades, etc.
Sin embargo, hay algunas medidas de seguridad que, aunque se desarrollen en el entorno del RT, su definición también podría corresponder al ET. Por ejemplo: técnicas de desarrollo, transparencia de algoritmos, gestión de incidentes, gestión de usuarios que acceden, gestión de cambios, formación, antivirus/antimalware en los equipos que acceden, etc.
Como decíamos, aunque los datos no salgan del entorno del RT, en algunas ocasiones lo que hace el ET en el entorno del cliente puede ser una black box para el RT. Imaginemos la habitación de un adolescente en nuestra propia casa. ¿Sabemos en todo momento lo que está haciendo? ¿El hecho de que no salga de casa, si no sabemos lo que pasa en la habitación, significa que tenemos todos los riesgos controlados? Creo que la respuesta es obvia.
Por lo tanto, creo que podemos sacar las siguientes conclusiones:
- El ET, en función del servicio contratado, puede tener responsabilidades en la definición de las medidas de seguridad a incluir en un Contrato de ET y en el asesoramiento sobre los riesgos y la seguridad de sus servicios, sobre todo en las cuestiones más técnicas del servicio.
- El Contrato de ET es un acuerdo que protege a ambas partes, por lo que es razonable que se defina de manera colaborativa
- Es recomendable en caso de servicios o soluciones paquetizadas el ET aporte su propio EIPD como documentación mínima del servicio.
- Que los datos no salgan del entorno del RT no evita todos los riesgos y es posible que algunas medidas de seguridad deban definirse por el RT y otras por el ET, sobre todo para aquellas en el que el ET tiene un acceso constante, continuado y opaco para el RT.
5. Lectura detallada de la normativa e interpretación.
A continuación se detalla, argumenta e interpreta (y, que duda cabe, como cualquier otro argumento e interpretación, se asume que puede haber argumentos e interpretaciones en sentido contrario) lo anteriormente descrito en el artículo en base a lo establecido en la normativa y documentación de la AEPD.
REGLAMENTO (UE) 2016/679 GDPR.
Artículo 4. Definiciones: Responsable del tratamiento (..): la persona física o jurídica (..) que determine los fines y medios del tratamiento.
Determina fines y medios, no se indica que debe determinar medidas de seguridad.
Artículo 24 Responsabilidad del responsable del tratamiento: aplicará medidas técnicas y organizativas apropiadas.
Aplicará medidas, pero en este punto no se cuestiona la intervención de un Encargado de Tratmiento.
Artículo 28 Encargado del tratamiento.
- Dicho contrato o acto jurídico estipulará, en particular, que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas.
Este punto es el más cercano a que el contrato debe incluir las “instrucciones documentadas”, pero está incluido, curiosamente, en el artículo dedicado al Encargado de Tratamiento.
- f) ayudará al responsable a garantizar el cumplimiento de las obligaciones (..)
- h) pondrá a disposición del responsable toda la información necesaria.
- En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento.
Una lectura conjunta de estos tres puntos incluidos en el epígrafe del contenido del Contrato de Encargado de Tratamiento resume las obligaciones de colaboración, transparencia y responsabilidad del ET en indicar al RT si una instrucción (si interpretamos arriba que instrucciones documentadas pueden ser medidas de seguridad, aquí deberíamos seguir con esa interpretación) es insuficiente, por ejemplo, en base al tratamiento encargado.
Artículo 35 Evaluación de impacto relativa a la protección de datos
- el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones
- La evaluación deberá incluir como mínimo: las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales
La definición de las medidas debe derivar de una EIPD (cuando sea necesaria), y si bien los dos puntos anteriores parecen claros en cuanto a que es una responsabilidad del RT, en el artículo a continuación sobre consulta previa se vuelve a mencionar al ET.
Artículo 36. Consulta previa
- la autoridad de control deberá (…) asesorar por escrito al responsable, y en su caso al encargado.
- La autoridad de control informará al responsable y, en su caso, al encargado
Podemos interpretar que la norma, en cuanto a las EIPD consultadas, pone, en función del caso, al ET al mismo nivel que al RT en cuanto a la definición y aplicación de medidas de seguridad derivadas de las mismas.
TÍTULO V Responsable y encargado del tratamiento. Medidas de responsabilidad activa. Artículo 28. Obligaciones generales del responsable y encargado del tratamiento à Los responsables y encargados, teniendo en cuenta los elementos enumerados (..) determinarán las medidas técnicas y organizativas apropiadas que deben aplicar (…).
La normativa nacional es más clara aún, indicando que es una responsabilidad proactiva de ambas partes.
- Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas (..).
- Así mismo el encargado también debe evaluar los poibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) (…)
- El responsable y el encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas.
En este caso, aunque separa la evaluación de riesgos, la determinación de las medidas indica que es de ambas partes.
- LA COLABORACIÓN EN EL CUMPLIMIENTO DE LAS OBLIGACIONES DEL RESPONSABLE
- La realización de las evaluaciones de impacto (..)
- El responsable puede delegar en el encargado el cumplimiento de estas obligaciones.
Y para reforzarlo aún más, deja a disposición del responsable la posible delegación de las evaluaciones de impacto en un epígrafe titulado “COLABORACIÓN”.
Y acabamos con una respuesta que proviene directamente de la AEPD.
Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
