En los últimos meses, varias empresas relevantes del panorama nacional, como Iberdrola o Banco Santander entre otras, han sido objeto de importantes ciberataques que han supuesto filtraciones masivas de datos de carácter personal. También algunas administraciones públicas se han visto afectadas, como es el caso de la Dirección General de Tráfico.
¿Qué tienen en común estos episodios?
Estos episodios tienen en común un aspecto fundamental, y es que en todos ellos la brecha de seguridad viene originada por un ciberataque a un proveedor.
Sin intención de juzgar el proceder de las entidades antes mencionadas, cuestión que no compete aquí, estos eventos, más allá de poner en alerta a Pymes y grandes empresas, deberían servirles como acicate para dar a este asunto la importancia que merece, pues es una realidad que en el ámbito empresarial no siempre se presta suficiente atención a las relaciones existentes con los distintos integrantes de la cadena de suministro.
La normativa de protección de datos no es ajena a esta problemática y por eso la redacción del artículo 28 del RGPD no es caprichosa y recoge los deberes de diligencia in eligendo e in vigilando del responsable, que establecen las obligaciones de éste no ya de elegir únicamente encargados que ofrezcan garantías técnicas y organizativas adecuadas y poder acreditarlo (diligencia in eligendo), sino también de verificar el cumplimiento de estas garantías a lo largo de la vida del contrato (diligencia in vigilando), ya que las circunstancias del proveedor pueden variar.
Aun teniendo en cuenta que esta verificación de la diligencia en la práctica puede estar un poco condicionada por la “posición” que responsable y encargado ocupen en el mercado, el abanico de posibilidades es amplio, pudiendo, por ejemplo, desde solicitar un informe de auditoría de protección de datos a auditar a un tercero, o que ese tercero disponga de una certificación relacionada con protección de datos o seguridad de la información. El Reglamento, prevé expresamente la posibilidad de que el encargado se adhiera a un código de conducta o a un mecanismo de certificación.
Es muy importante recalcar que la no acreditación de estas garantías por el encargado implica que la empresa que lo contrata tiene la obligación de resolver el servicio con él. Fruto de las vicisitudes del mercado esto no siempre sucede. Pocas compañías llevan a cabo esta medida que a primera vista puede parecer tan drástica, y anteponen el servicio en sí a las medidas de seguridad aplicadas sobre los tratamientos de datos efectuados como consecuencia del mismo. Pero si miramos el asunto con mayor profundidad, esto es un error que se puede pagar caro. El servicio y la seguridad de la información y de los datos no debieran ser enemigos, sino amigos, constituyendo ambos dos elementos integrantes del mismo pack.
Si no se resuelve el contrato de servicios con el encargado, la empresa contratante puede ser considerada responsable de una infracción de protección de datos, tal y como se establece en el artículo 73.1.j) de la LOPDGDD, infracción catalogada como grave y cuya multa, de acuerdo con lo dispuesto en el artículo 83.4 RGPD, puede alcanzar la friolera de 10 millones de € o multa equivalente al 2% como máximo del volumen de facturación de la empresa en el año anterior, optándose por la de mayor cuantía.
Además de todo lo expuesto, y sin perjuicio de que las garantías anteriormente mencionadas deban estar conectadas con los tratamientos de datos efectivamente realizados por el tercero en la práctica (no es lo mismo, por ejemplo, que la tipología de datos tratados para cumplir con el objeto del encargo sea de categoría especial o que no lo sea), las relaciones entre responsable y encargado de tratamiento deben regularizarse mediante un contrato de encargo, el cual puede basarse en cláusulas tipo aprobadas por la Comisión Europea o la AEPD.
Este contrato debe establecer una serie de condiciones en el tratamiento y en el uso de los datos, describiendo los tipos y categorías de datos a tratar, las obligaciones del responsable y del encargado y las medidas de seguridad a implementar.
Al finalizar la prestación de servicios, el encargado debe suprimir o devolver todos los datos personales, así como suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del derecho de la Unión o de los Estados Miembros.
Si el encargado incumpliese alguna de las obligaciones del contrato, respondería por dicho incumplimiento, salvo que existiese causa de fuerza mayor.
Subencargos. ¿Qué hay que tener en cuenta?
Partiendo de la base de que el RGPD prevé la posibilidad de subcontratación por parte del encargado, cabe preguntarse cómo se ha de regularizar esta situación. El artículo 28. 2 establece que el encargado no puede recurrir a otro encargado si no existe autorización previa por escrito, específica o general, del responsable, en cuyo caso el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la posibilidad de oponerse a esos cambios.
En todo caso el subencargado estará sujeto a las mismas obligaciones que el encargado en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. Si un subencargado realiza algún incumplimiento, el encargado inicial seguirá siendo responsable ante el responsable de tratamiento en lo referente a las obligaciones de aquel.
Servicios de nube (Cloud computing)
Mención especial merece la contratación con proveedores de servicios en la nube. En estos casos el contrato de prestación de servicios debe incorporar entre sus cláusulas las garantías a las que obliga el artículo 28 RGPD.
La realidad de estos servicios, en muchos casos ofertados por grandes multinacionales, lleva a que generalmente hablemos de contratos de adhesión, en los que se fijan una serie de cláusulas contractuales cerradas por parte del proveedor, sin que la empresa que lo contrata tenga mucha capacidad de decisión a la hora de negociar los términos. Aún en estos casos en los que pueda existir un desequilibrio entre las dos partes (por ejemplo, una Pyme frente a un gran proveedor), la normativa de protección de datos aplica a ambos por igual, con independencia de su tamaño o entidad, por lo que el proveedor de los servicios en la nube no deja de ser un encargado de tratamiento más, y, como tal, debe cumplir con sus obligaciones como cualquier otro.
A la hora de contratar un servicio de este tipo, es necesario tener en cuenta, entre otras, las siguientes cautelas:
- La empresa contratante es responsable de la seguridad, confidencialidad y disponibilidad de los datos que sube a la nube, por lo que conocer y tener garantías del nivel de cumplimiento del proveedor se convierte en algo indispensable.
- Es importante conocer el lugar donde se localizan los servidores, ya que, si estos están fuera del Espacio Económico Europeo, las garantías de protección sobre los datos de carácter personal pueden no ser siempre equivalentes a las existentes en la Unión Europea.
- Siguiendo la línea de los dos puntos anteriores, es importante tener conocimiento acerca de la cadena de subcontratación, para poder verificar si los distintos subencargados cumplen la normativa y evitar que la localización de los servidores nos dé un quebradero de cabeza en términos de legalidad.
Concluyendo
Regularizar las relaciones con los proveedores es una cuestión capital en orden a garantizar la seguridad y la confidencialidad en el tratamiento de los datos.
Dejar de lado los deberes de “diligencia in eligendo e in vigilando” puede tener consecuencias financieras y reputacionales muy severas. Por eso, no esperes a pinchar la rueda para poner el parche, invierte recursos en la protección de datos de tu empresa y no olvides que las obligaciones que dejas de cumplir hoy pueden ser las preocupaciones de mañana.