Todos los compañeros que nos dedicamos al mundo del dato o la seguridad de la información hemos tenido que elaborar o revisar muchos contratos de Encargado de Tratamiento de datos, tanto contratos puros como adendas a los contratos principales de la relación entre los sujetos intervinientes. Y claro, hemos visto de todo, como en botica.
La principal conclusión a la que he llegado personalmente es a que, en muchos casos, se ha querido pasar de puntillas por las obligaciones recogidas por el art. 28 RGPD, sin entender realmente la importancia del mismo en la relación entre los sujetos del flujo de un tratamiento.
El 28 es un artículo un tanto extenso, puesto que sienta las bases de la relación del Responsable del Tratamiento (RT) con el Encargado del Tratamiento (ET), y de ambos con el Subencargado del Tratamiento (SubET). A diferencia del RDLOPD, en que (casi) ningún detalle se dejaba al arbitrio de las partes intervinientes, el RGPD presupone un grado de madurez en el Responsable del Tratamiento que le permita tomar decisiones cabales. Quizá sea demasiado suponer…
Armonizar las legislaciones supone un ejercicio de abstracción sumamente considerable. I know. Y está claro que las injerencias en los ordenamientos nacionales son un escollo harto difícil de salvar. De ahí que la norma, una vez puesta en circulación, puede llegar a causar efectos indeseados, incluso absolutamente contrapuestos al espíritu recogido en los Considerandos (tantos y tan extensos que me juego contigo un café a que no te los has leído por completo).
O, como le dijo el alumno Pérez a Mairena, «lo que pasa en la calle».
Pues eso. Todos sabemos que en ocasiones –no siempre– el Responsable del Tratamiento es perezoso. Como RT soberano que somos, hemos decidido que este contrato en el fondo no es más que un papelujo sin importancia, y… pues oye… vamos a buscar un modelito rápido que podamos descargar de internet, que pa’eso está, y au .
¿Habéis probado a hacer la búsqueda? Probad, probad: «Modelo de contrato de Encargado de Tratamiento RGPD«. En el momento de escribir ésto, nada menos que 66.300 resultados. Todo un repositorio público de .pdfs o .docs más o menos extensos, en que se buscan fórmulas más o menos extensas, más o menos precisas, y más o menos … acertadas, para «cumplir» con el trámite exigido de documentar en un contrato u acto jurídico asimilado la relación entre los intervinientes en el tratamiento de datos.
Está claro que todos estos contratos pueden servir como ejemplo o tomarse como guía, de forma inicial. Lógicamente los requerimientos formales de base son los mismos. Que si determinar los instrucciones, que si garantizar el compromiso con la confidencialidad, que si tomar las medidas de seguridad necesarias, que si asistir al responsable, que si determinar qué se hará cuando finalize el tratamiento, etc.
Conseguir un modelo para salvar el expediente es tan sencillo como conversar un ratito con Google.
La cosa se pone dura cuando realmente un RT quiere elegir un ET que esté en condiciones de «ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas«. Ahí creo yo que radica el meollo del asunto. Este primer punto, con el que se abre el artículo, debería haberse ubicado un poco más adelante. Y ello, porque es la cuestión de las medidas de seguridad la que va a diferenciar un ET realmente capaz de un ET indigno.
Antes hablaba de la madurez de la que presupondremos cuenta el RT. Y esta madurez va a tener su reflejo en las medidas de seguridad que exija a su ET para garantizar el correcto tratamiento de los datos.
El artículo 28 no dice nada de quién debe proponer el contrato, sólo que deba existir éste. Pero si el RT tiene el nivel de madurez suficiente, no será necesario mucho más. Será él quien proponga a su ET el contrato. Y será él quien ponga encima de la mesa las medidas que entiende necesarias para a) considerarlo digno garante de la protección de los datos de los que es responsable, y b) garantizar con ellas la seguridad de los datos.
Porque si un ET no es capaz de cumplir con las medidas que le requiere el RT, quizá sea un indicador de que ese ET no es digno de proteger los datos que va a tratar. Va, cambiemos digno por idóneo, que suena un poquito más suave.
Pero volvamos a los modelos de contrato que campan a sus anchas por Google. Abrid, sólo por curiosidad, un par de ellos. Y cuando lleguéis a la parte de las medidas de seguridad, veréis que ¡oh, sopresa! se limitan a transcribir el tenor literal del art. 32 RGPD.
Y ahí está el gran fallo, en que ese artículo no dice realmente nada. Porque el RGPD asume que, en su estadio de madurez, el RT ya ha tomado conciencia de cuáles son las medidas que requiere su tratamiento, y no necesita establecer una casuística exhaustiva y taxativa. Nada que imponer, cuando el RT es un sujeto consciente y responsable.
Y por lo tanto, el RGPD asume que en el contrato que obliga a firmar al RT con su ET van a quedar recogidas las medidas de seguridad explícitas y necesarias para abordar el tratamiento con garantías. No es el texto de la norma el que deba hacer un listado de medidas de seguridad físicas, lógicas, sobre redes, sistemas, aplicaciones, sobre el desarrollo seguro, sobre la protección de los equipos, sobre criptografía, sobre seguridad operacional, sobre control de cambios, sobre contingencia, sobre continuidad de negocio… En fin, ya sabéis de qué hablo.
Tanto si tomamos la posición de RT como de ET, es importante delimitar con precisión los aspectos que van a regir nuestra relación, y muy especialmente las medidas de seguridad a aplicar en los tratamientos de información en general, pero en lo tocante a datos de carácter personal en particular. Tomarse a la ligera un contrato tan esencial como es éste, pensando que estamos ante un mero accesorio de la prestación principal, es un craso error de principiante.
Pero es un error que puede traer consecuencias de índole económico y reputacional de enormes dimensiones. De modo que, si me permiten darles un consejo, no recurran nunca a modelos de contratos que puedan encontrar en un buscador. Busquen mejor un especialista que sepa dotarles no de un documento «quitamultas», sino de una herramienta de trabajo en sus relaciones empresariales con sus proveedores.
Salvo mejor opinión, claro está…