Uno de los principios fundamentales establecidos por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”) es el principio de responsabilidad proactiva por el cual, los responsables del tratamiento no sólo deben cumplir la normativa de privacidad, sino que deben ser capaces de demostrar y acreditar que cumplen con la citada normativa.

Entre las obligaciones que todo responsable del tratamiento debe acreditar que cumple, se encuentra la establecida por el artículo 28.1 del RGPD, que establece que el responsable del tratamiento “elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.

Esta obligación de elegir a encargados del tratamiento que ofrezcan garantías suficientes es matizada por el Considerando 81 del RGPD cuando establece que “Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento”.

Llegados a este punto, y teniendo en cuenta la subjetividad de los parámetros que deberían analizarse indicados por el Considerando 81 del RGPD, cabría plantearnos qué medidas deben adoptar los responsables del tratamiento para analizar si los encargados del tratamiento reúnen las garantías suficientes. Como es sabido, entre otras prácticas, en el mercado se está recurriendo a la realización de cuestionarios previos a la contratación sobre el nivel de cumplimiento de los encargados del tratamiento. No obstante, por las recientes resoluciones de la Agencia Española de Protección de Datos (“AEPD”) parece que esta medida no sería suficiente por sí sola, sino que dicha revisión previa a la contratación debería ir acompañada de una revisión o auditoría del nivel de cumplimiento de las garantías por parte del encargado durante toda la relación contractual, lo cual, sin duda, podría implicar elevados costes tanto económicos como operativos para el responsable y para el encargado del tratamiento.

Asimismo, el artículo 28.4 del RGPD continúa indicando que, cuando un encargado del tratamiento recurra a otro encargado del tratamiento (subencargado), deberá imponerse a este otro encargado las mismas obligaciones que al encargado principal y en particular, “la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento”. Además, matiza el citado artículo que “Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado”.

Dada la anterior obligación regulatoria y el nivel de exigencia que ya es posible establecer a partir de algunas recientes resoluciones sancionadoras de la AEPD, se plantea una cuestión muy relevante, especialmente en aquellas empresas del mundo tecnológico que habitualmente tienen el rol de encargados del tratamiento frente a sus clientes finales y que cuentan con una potente estructura de subcontratación. En estos casos, nos encontraríamos ante la necesidad de definir, caso a caso, si corresponde al responsable o al encargado llevar a cabo la verificación de que la cadena de subcontratistas reúne las garantías suficientes para cumplir con el RGPD. Y, en caso de que corresponda al encargado, ¿debería seguir con los subencargados del tratamiento el mismo sistema de verificación que le exija el responsable del tratamiento?

Ante la incertidumbre del momento y la difícil respuesta a las preguntas anteriores, cabe indicar que el propio RGPD establece en el Considerando 81 anteriormente citado que “La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable”. Por tanto, en nuestra opinión, una ventaja competitiva para las empresas del entorno tecnológico sería elaborar un código de conducta que permita acreditar que tanto las empresas tecnológicas como las entidades subcontratistas a las que recurran cumplen con las garantías suficientes establecidas por el RGPD. La elaboración de este código de conducta, sin duda, mejorará la competitivad en el mercado de las entidades adheridas, otorgará una mayor seguridad sobre el nivel de vigilancia del cumplimiento de las garantías suficientes exigidas por el RGPD y reducirá los costes en la revisión del nivel de cumplimiento de los encargados del tratamiento.

 

Alejandro Padín Vidal. Socio en Garrigues, responsable del área de privacidad y ciberseguridad, Katiana Otero Saavedra. Asociada Senior en Garrigues, área de privacidad y ciberseguridad, miembros del Grupo Regulación Autelsi.