Paula Armentia ECIXPor Paula Armentia Morillas, Asociada Senior del Área de Governance, Risks & Compliance de ECIX

Estamos en un mundo tendente a la globalización que, a nivel empresarial, se materializa a través del hecho de poder gestionar información desde cualquier parte del mundo. Dicho término, desde el punto de vista de protección de datos nos lleva a pensar en las ya conocidas Transferencias Internacionales de Datos (TID) cuyas obligaciones y acciones a realizar, ya han sido tratadas en otros artículos.

El motivo de este artículo es el de establecer las pautas que, por un lado, permitan minimizar/eliminar los riesgos legales por incumplimiento de la normativa de Protección de Datos en la Parte Contratista (o Responsable del Fichero),al existir una TID sobre la que no hemos podido obtener la correspondiente autorización por desconocer su existencia o no conocerla a tiempo. Y, por otro, evitar a la Parte Proveedora de servicios (o Encargado del Tratamiento) posibles pérdidas económicas al tener que retrasar la puesta en marcha del servicio por no existir una autorización para la TID(pérdidas derivadas, entre otros, de tener a su personal inactivo, penalizaciones por retrasos en la prestación del servicio, etc.). Piénsese, por ejemplo, en la contratación de servicios de ServiceDesk, de un Call Center o la externalización de servicios de explotación de infraestructura de IT que vaya a gestionarse en países que habitualmente suelen prestar este tipo de servicios (por temas de reducción de costes), pero que no cuentan con un nivel adecuado de protección(India, Panamá, etc.).

Por tanto, la regularización clara y completa de la figura de la TIDen el Contrato que se firme entre las Partes es esencial y recomendable ya que juega a favor de ambas.

Desde el punto de vista del Contratista (Responsable del Fichero): Puede darse la circunstancia de que en alguna parte del Contrato (ya que no necesariamente debe especificarse en los apartados propios relativos a la materia de protección de datos y/o confidencialidad) se detalle una fórmula que conlleve una posible TID “encubierta” y/o sobre la que desconozcamos su existencia(p.e. “se gestionarán datos del Cliente por cualquier entidad del Grupo al que pertenece el Proveedor”).

Si bien es cierto que el art.21 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD), especifica los requisitos para la subcontratación de servicios por el Proveedor, dicho articulado no aportada los detalles concretos de cómo debe ir revestida dicha autorización para subcontratar, ni la forma en que debe realizarse la misma.

Esto es, si en el Contrato se recoge una fórmula genérica de autorización por el Responsable del Fichero para las subcontrataciones, ya se cumple con dicha obligación (esto es, que se ha autorizado).Además, sien el Contrato no se especifica la forma de la comunicación, ésta podría considerarse cumplida, por ejemplo, cuando en una reunión entre el Proveedor y elDepartamento de Sistemas del Contratista, en la que el primero informe que se van a prestar los servicios de Service Desk desde la Entidad de su Grupo ubicada en Panamá. En este caso, al no resultarle extraño este hecho al Departamento de Sistemas del Contratista, no trasladará dicha información al Dpto. o persona correspondiente en la Organización que pueda identificar que se trata de una posible TID. Entonces, ¿esto se considera como una comunicación que realiza el Proveedor y que podría ser demostrada aportando el contenido del acta de la reunión?

En base a lo anterior, es recomendable especificar claramente en el Contrato que la autorización a subcontratar estará, en todo caso, condicionada a que la Entidad a subcontratar se encuentre en alguno de los siguientes supuestos: que i) se halle ubicada en un país dentro del Espacio Económico Europeo (EEE); ii) que se halle ubicada en un país cuyo nivel de protección ha sido considerado equiparable al Europeo por la Comisión o por la propia Agencia Española de Protección de Datos; iii) que se trate de una Entidad estadounidense que se encuentre adherida a los principios de “Puerto Seguro”; iv) que la Entidad a subcontratar hubiera obtenido de manera previa la autorización para la TIDde la/s correspondiente/s Autoridades nacionales de Protección de Datos.

Así, en caso de que la Entidad a subcontratar no se encuentre en ninguno de estos supuestos especificados anteriormente, el Proveedor deberá de manera previa a cualquier subcontratación y/o comunicación de datos, informar (por escrito y de manera fehaciente), así como obtener autorización (por escrito y de manera fehaciente) del Responsable del Fichero,asumiendo aquél cualquier tipo de responsabilidad que pudiera surgir para el Responsable del Fichero en caso de no realizarlo conforme a lo especificado.

Desde el punto de vista del Proveedor (Encargado del Tratamiento): Puede darse el supuesto de que el Proveedor forme parte de un grupo multinacional en los que la prestación de determinados servicios se realice desde entidades del grupo ubicadas en países que no prestan un nivel adecuado de protección de datos personales. O, simplemente, Proveedores que realizan subcontrataciones de determinados servicios a otras Entidades ubicadas en ese tipo de países.

En este sentido, es más que probable que el Contratista, en el momento de tener conocimiento del tratamiento de datos personales de su responsabilidad en/desde un país que no cuenta con un nivel adecuado de protección, paralice la prestación del mismo hasta que se haya regularizado la situación de incumplimiento (o el Contratista haya conseguido la correspondiente autorización o exija al Proveedor que utilice la fórmula permitida por la Agencia Española de Protección de datos en la que es el Encargado del Tratamiento el que solicita la autorización de TID cuando el subcontratista se encuentre en un país que no cuenta nivel adecuado de protección.

Ante este panorama es recomendable que el Proveedor se anticipe a este hecho y solicite una autorización de TID referida a un modelo contractual, autorización que podrá ser utilizada con todos o muchos de sus Clientes.

En este sentido, la AEPD en una de sus últimas resoluciones de TID (Nº Expediente: TI/00126/2012)especifica lo siguiente “(…)a diferencia de lo sucedido hasta este momento, en que la autorización ha aparecido siempre referenciada a un caso concreto de transferencia internacional de datos, en el presente supuesto la autorización se refiere a un modelo contractual en que si bien se identifican las partes en el contrato de transferencia y los datos, tratamientos y finalidades concretas respecto de las que se verificará dicha transferencia, así como las medidas de seguridad que se adoptarán, no se conoce a priori quién será el responsable del fichero que celebrará con el encargado exportador el denominado contrato marco al que se refiere el contrato de transferencia ni cuáles serán los ficheros de los que procederán los datos en cada transferencia concreta.(…) es decir, en caso de que se produzca dicha identificación no será exigible al responsable del fichero solicitar una nueva autorización de transferencia internacional de datos, toda vez que, en caso de existir tal identidad, dicha transferencia ya habrá sido previamente autorizada por esta Agencia mediante la presente resolución. (…) De este modo, cualquier transferencia que se efectúe dentro del marco objeto de la presente autorización no precisará de una posterior autorización singular del Director de la Agencia Española de Protección de Datos (…)”.

En conclusión, para minimizar/eliminar los riesgos por incumplimientos legales que puedan achacarse al Contratista, así como para evitar pérdidas económicas al Proveedor motivado por retrasos en la puesta en marcha del servicios, es recomendable establecer expresamente en el Contrato la forma de abordar la TID y las acciones que asumirá cada una de las Partes.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.