Esas líneas son un repaso a la obligación que tienen los encargados del tratamiento de datos de carácter personal de aplicar las medidas de seguridad.
Una de las principales preocupaciones que ha despertado la aplicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD, ha sido la, mal considerada "novedad", obligación de aplicación de las medidas de seguridad por el encargado del tratamiento.
El encargado del tratamiento es la persona que recibe del responsable del fichero el encargo de prestar un servicio que implica llevar a cabo un tratamiento de datos de carácter personal. En materia de medidas de seguridad, el artículo 9 de la LOPD dispone en su primer apartado que: "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".
Una de las principales conclusiones a las que nos lleva este artículo, y en lo que ahora nos interesa destacar, es que la LOPD ha obligado, desde su entrada en vigor, el 14 de enero de 2000, tanto al responsable del fichero como al encargado del tratamiento a observar las medidas de seguridad que establece el Reglamento, si bien, la falta de desarrollo reglamentario ha dificultado, hasta su aprobación, seriamente su aplicación.
Nos centraremos en analizar las reglas especiales que implica la aplicación de medidas de seguridad por el encargado del tratamiento, reglas especiales que no exceptúan la obligación de observar las reglas generales que el Reglamento establece en materia de medidas de seguridad.
En primer lugar, se hace referencia al supuesto en el que la prestación de servicios se realiza en los locales del responsable del fichero, en este caso y conforme al artículo 82.1 del Reglamento, el responsable del fichero deberá hacer constar esta circunstancia en su documento de seguridad y el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el citado documento.
El segundo supuesto que se contempla es el de la prestación de servicios por acceso remoto. Cuando dicho acceso sea remoto, si el responsable ha prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los suyos propios, se deberá hacer constar esta circunstancia en el documento de seguridad del responsable y de nuevo el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el citado documento.
El tercer supuesto que se plantea es el de la prestación de servicios en los locales del encargado del tratamiento. En este caso, y conforme al artículo 82.2. del Reglamento, el encargado del tratamiento deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
Por último, se contempla el supuesto en el que el servicio que se vaya a prestar no requiera del tratamiento de datos de carácter personal, pero, por ejemplo, en el lugar en el que este servicio se vaya a desarrollar, se encuentren soportes y recursos que contienen información personal. En estos casos, el contrato de prestación de servicios deberá recoger expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Analizados estos supuestos, y con carácter general, mencionar que la existencia de un encargado del tratamiento implica que esta circunstancia debe constar en el documento de seguridad del responsable del fichero y en el documento de seguridad del encargado del tratamiento, así veníamos haciéndolo en la práctica y el Reglamento ha venido a detallar esta obligación en su artículo 88.5 donde dispone que el encargado del tratamiento recogerá en su documento de seguridad "la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo".
En cualquier caso, lo importante es que el contrato de prestación de servicios cumpla todas las exigencias del artículo 12 de la LOPD y refleje todas estas cuestiones, en relación a la adopción de las medidas de seguridad, de forma clara y precisa.
