Caso real: el otro día me informan del lanzamiento de una promoción que implicaba el tratamiento de datos de carácter personal. Una parte importante de dicho tratamiento lo iba a realizar una tercera empresa. Cuando me informan, la promoción ya ha sido lanzada y se ha pagado a esta tercera empresa proveedora. Al no haber mediado revisión legal tampoco se había firmado ningún contrato de encargado del tratamiento. Al contrario, una propuesta de servicios era lo único que documentaba la relación mercantil entre las dos partes.
Afortunadamente, el tamaño de dicha empresa era reducido y eran bastante cercanos tanto geográfica como personalmente, por lo que a los pocos días ya se había firmado el correspondiente contrato de encargo de tratamiento, tal y como obliga el artículo 12 de la LOPD. Aunque no deja de ser incorrecto, el hecho de regularizar posteriormente una relación entre Responsable del fichero y Encargado del tratamiento es bastante común en el día a día de cualquier empresa o entidad pública.
La Agencia de Protección de Datos ha abierto una consulta sobre Cloud Computing en su página web. En la misma plantean una serie de preguntas con los temas que más preocupan en relación al encaje del Cloud Computing dentro de la normativa de protección de datos. Por ejemplo, si el esquema clásico de la legislación se ajusta a las necesidades actuales o debe cambiarse, qué métodos sugiere el usuario para que el responsable del tratamiento esté informado del tratamiento que se lleva a cabo de los datos, etc.
Y ¿qué tiene que ver esta consulta de la Agencia con la anterior historia de la promoción? Pues que en la consulta buena parte de los "remedios" que parece apuntar la Agencia están relacionados con el contrato entre Responsable del fichero y Encargado del Tratamiento. Parece que este contrato tendrá una importancia crítica en una futura regulación para el encaje del Cloud Computing dentro de la normativa de protección de datos. Por ejemplo, la Agencia pregunta sobre la posibilidad de utilizar "contratos-tipo", del mismo modo que se utilizan las cláusulas contractuales tipo para las transferencias internacionales de datos.
Esto es lógico si tenemos en cuenta la contratación de este tipo de servicios comporta la transferencia internacional de datos en la mayoría de supuestos. También se apunta a la idea que se deban incluir previsiones detalladas sobre cómo se borrarán los datos al finalizar la prestación del servicio. Finalmente, se sugiere la intervención por parte de las autoridades para asegurar que se cumplan las garantías en relación a este tipo de contratos.
En definitiva, se hace pivotar buena parte del cumplimiento de la legalidad en los servicios de Cloud Computing a la correcta redacción del contrato entre las partes. Siendo así las cosas, si la empresa del ejemplo de la promoción anterior hubiera sido una empresa de Cloud Computing no se hubieran cumplido las exigencias de la normativa.
Con toda seguridad se hubieran aceptado las cláusulas propuestas por la empresa (probablemente extranjera), dichas cláusulas no harían mención a la responsabilidad del encargado del tratamiento, tampoco indicarían las medidas de seguridad que debe aplicar la empresa prestadora del servicio, o la eventual existencia de subcontrataciones, o la localización geográfica del país o países donde se lleva a cabo el tratamiento de los datos. Por ello, si con el desarrollo de la industria del Cloud Computing, el contrato va a pasar a ser un elemento todavía más crítico se hace necesaria una buena preparación de las cláusulas que se incorporen al mismo.
Todo ello debe llevarnos a la conclusión que la persona encargada del cumplimiento de la normativa de protección de datos en cualquier empresa o entidad pública deba hallarse presente no solo en la revisión del contrato, sino en un primer momento, cuando se toma la decisión de utilizar este tipo de servicios. Es ahí cuando esta persona puede valorar las propuestas de las diferentes empresas y su diferente "sensibilidad" en relación al cumplimiento de la normativa.
A partir de este momento, se podrán negociar tanto las cláusulas que regulan las propias características técnicas del servicio como aquellas que regulan los requerimientos legales a los que obliga la normativa. Es en este momento donde existe una posibilidad real de proponer y modificar el contenido del contrato porque en un momento posterior será muy difícil modificar estos términos, resultando especialmente gravoso cuando el contrato ya ha sido firmado y se ha comenzado a pagar por los servicios.
