¿Qué es la evaluación de encargado?

A algunos de vosotros puede que vuestros clientes empresa os hayan enviado una evaluación de encargado del tratamiento en la que os hacen una serie de preguntas sobre cómo tratáis los datos personales que os facilitan. Si no sabéis de que va el tema, no desesperéis y digáis “no, no lo hago”, porque es algo muy sencillo, necesario, útil y que conviene hacer.

Antes de nada, aclarar que no se trata de una evaluación de los servicios que prestamos a nuestros clientes, sino que únicamente está enfocada a la protección de datos.

Como ya hemos visto, el encargado del tratamiento es aquel que trata datos personales por cuenta del responsable del tratamiento.

¿Qué quiere decir esto? Pues que el responsable contrata a una persona para que le preste un servicio. A efectos de la protección de datos, ese prestador de servicios es un encargado del tratamiento ya que los datos que está tratando no son sus propios datos, ni de sus clientes, empleados, solicitantes de información, etcétera, sino que se trata de los datos que pone a su disposición el responsable de los mismos, el cual se los facilita para que pueda desempeñar la prestación del servicio contratado.

Sin embargo, esto no se aplica a cualquier prestador de servicio pues únicamente estaremos hablando de un encargado del tratamiento cuando los datos que el responsable pone a su disposición son datos de carácter personal. Es decir, debe tratarse de información sobre una persona física identificada o identificable, algo que no sucedería si lo que se contrata es la prestación de un servicio de limpieza o de mantenimiento de instalaciones o alojamiento web, entre otros.

Teniendo esto presente y una vez llegado a la conclusión de que se están tratando datos personales, tanto el RGPD como la LOPDGDD, establecen la importancia de que cualquiera que trate datos personales ofrezca garantías suficientes de que aplica medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos exigidos en materia de protección de datos de carácter personal.

En relación con esto, el artículo 5.2 del RGPD exige a los responsables no sólo una responsabilidad proactiva en cuanto al cumplimiento de los principios relativos al tratamiento indicados en el apartado 1 de dicho artículo, sino que estos también deben ser capaces de demostrar que efectivamente se ha cumplido con lo dispuesto en dichos principios.

Y esto no es sólo algo del reglamento europeo sino que además, en la propia legislación española, se refuerza esta responsabilidad activa indicándose en el artículo 28.1 de la LOPDGDD que ambos, responsable y encargado, aplicarán de manera efectiva medidas técnicas y organizativas para garantizar y acreditar que el tratamiento se realiza conforme a la normativa de protección de datos.

Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

Además de lo que hemos visto, se indica en el artículo 28.1 del RGPD que el responsable tiene una responsabilidad proactiva a la hora de elegir un prestador de servicio que trate los datos que se le facilitan de manera diligente ofreciendo así garantías en cuanto a que el servicio que presta se hace conforme a la normativa al cumplirse con la protección de datos.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y otra vez, por si no fuera suficiente, dicha exigencia se reitera en el considerando 81 del RGPD, en el cual se requiere de nuevo que el responsable recurra únicamente a aquellos encargados que ofrezcan garantías suficientes en lo que respecta al tratamiento de los datos que realizan.

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

Por tanto, queda claro que para cumplir con todo lo dispuesto en la normativa de protección de datos, el responsable deberá establecer un procedimiento de evaluación de sus encargados mediante el cual pueda dirimir, e incluso llegar a acreditar en el caso de que fuese necesario, que la elección del prestador de servicios se realizó conforme a la normativa en materia de protección de datos y en consonancia con el principio de responsabilidad proactiva que rige cualquier tratamiento de datos.

Y dirás “pues es un problema del responsable, que se haga él el cuestionario”, pero eso no es del todo así.

De acuerdo con lo establecido en el artículo 28.3.h) del RGPD, el encargado deberá colaborar con el responsable facilitándole toda la información que éste necesite para demostrar el cumplimiento de las obligaciones que se le imponen en materia de protección de datos. El cumplimiento de este precepto normativo entonces se haría efectivo mediante la cumplimentación de la evaluación.

[El encargado] pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Entonces, según todo lo que hemos visto, para dar cumplimiento a las exigencias dispuestas en el RGPD y en la LOPDGDD, los encargados del tratamiento deben cumplir y respetar todas las normas y obligaciones aunque no se trate de sus datos, así como colaborar con los responsables poniendo a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

En definitiva, y como ya hemos visto, el cumplimiento de la normativa en materia de protección de datos es importante pues las sanciones administrativas en caso contrario son de gran envergadura.

Aun así, y de todas maneras, el cumplimiento de la normativa de protección de datos debe hacerse en todo caso, por lo que tampoco es que nos suponga un esfuerzo extra el completar un cuestionario como encargados que, por otro lado, nos están pidiendo nuestros propios clientes.