SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Introducción

Si alguno de sus clientes le proporciona datos de carácter personal con el objetivo de realizar algún tratamiento de los mismos, se está convirtiendo en encargado de tratamiento de dichos datos. Usted no es el responsable de los datos, sin embargo, esta relación con su cliente implica que debe conocer y cumplir los requerimientos de la Ley Orgánica de Protección de Datos (LOPD) y el Real Decreto (RDLOPD) que la desarrolla, en todo lo que le afecta como encargado de tratamiento.

Definiciones

Según la LOPD, el encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Dicho tratamiento deberá ser consecuencia de la existencia de una relación jurídica que le vincula con el responsable de los datos (su cliente) y delimita el ámbito de su actuación para la prestación de un servicio.

El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido.

Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

La LOPD define “tratamiento de datos” como cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Obligaciones del encargado de tratamiento

Según el artículo 9 de la LOPD el encargado de tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Estas medidas están desarrolladas en el Real Decreto 1720/2007, de 21 de diciembre.

Contrato entre el responsable del fichero y el encargado de tratamiento

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Deberá establecerse expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y que no los aplicará o utilizará con un fin distinto, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato también se estipularán las medidas de seguridad que el encargado de tratamiento está obligado a implementar según la LOPD y el RDLOPD.

Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales, deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la LOPD y el RDLOPD.

Inclusión en el Documento de Seguridad

Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo. También deberá identificarse al responsable del fichero y el período de vigencia del encargo.

Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 del RDLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado el mantenimiento del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la LOPD, con especificación de los ficheros o tratamientos afectados.

En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.

Comunicación de datos del encargado de tratamiento a terceros

En el caso de que el encargado del tratamiento destine los datos a otra finalidad distinta de la que acordó con el responsable de los datos, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la LOPD, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido.

No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.

Asimismo, no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

Devolución y eliminación de datos

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación.

El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

Subcontratación de servicios por parte del encargado de tratamiento

El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del fichero, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del fichero.

No obstante, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.

Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, según los requerimientos de la LOPD y el RDLOPD.

En este caso, el subcontratista será considerado encargado del tratamiento.

Ejercicio de los derechos ante el encargado del tratamiento

Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición.

Trabajo fuera de los locales del encargado del tratamiento

Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Conclusión

Desde el punto de vista del encargado de tratamiento, se hace especial énfasis en una serie de condiciones que debe cumplir el contrato celebrado entre el responsable de los datos y el encargado de tratamiento. Si usted se encuentra en dicha situación y no ha firmado un contrato que le define como encargado de tratamiento es el momento de revisar la relación contractual con su cliente y, si fuera necesario, contar con asesoramiento externo para definir el contrato necesario e implantar las medidas de seguridad que requiere la ley.