Ricard Martínez Martínez
El artículo 12 de la Ley Orgánica de Protección de Datos Personales suele abordarse como una mera formalidad por parte de muchos responsables cuando no resulta directamente ignorado. Sin embargo, en el espíritu de la directiva vincular contractualmente al encargado es una metodología que se integra en los procesos de gestión de la información personal con un doble objetivo. En primer lugar, y sin lugar a dudas se concibe como un instrumento adicional al servicio de la garantía del derecho fundamental a la protección de datos personales. Por otra parte, permite definir con precisión la responsabilidad de los agentes en juego en la relación de prestación de servicios que comporta la atribución de la condición de encargado.
En la primera de sus dimensiones no puede desconocerse que el responsable de un fichero o tratamiento ocupa una posición de garante. Tratar datos personales imprime carácter a la actividad y responsabilidad a quien la desarrolla. Y esa responsabilidad va mucho más allá de un mero cumplimiento formal de un requisito, posee un contenido material. Y sin embargo, no es extraño identificar en el mercado una serie de prácticas ciertamente sorprendentes para quien conozca profundamente esta realidad.
La más común de ellas consiste en la inclusión en los contratos de prestación de servicios de una referencia básica al artículo 12 de la LOPD, cuando no una simple declaración general de cumplimiento de la Ley. Una variante de difícil calificación consiste en tomar cada uno de los párrafos del artículo 12 LOPD, y los que resulten convenientes de los artículos 20 y ss. de su Reglamento de Desarrollo y convertirlas en los pactos del contrato. El resultado sería digno de un monólogo humorístico si es que esto tuviera la menor gracia.
Permítame el lector un análisis de esta práctica por reducción al absurdo. Imagínese un contrato de arrendamiento, una compraventa cualquier otro negocio jurídico en el las partes se limitasen a reproducir artículos del Código Civil o de la específica ley aplicable. Lo cierto es que en tanto que mera reproducción de normas serían cláusulas jurídicamente válidas. Pero si nuestro asesor nos prepara algo así, es probable que tras una cierta preocupación sobre su estado mental amablemente prescindiéramos de sus servicios. Contraer un relación jurídica compleja obliga a cortar un traje a medida y adoptar cautelas que se suelen extremar hasta límites insospechados y desde luego muy por encima de la regulación básica.
Lo que el legislador define en el artículo 12 LOPD es un conjunto de objetivos que corresponde al responsable precisar para cada prestación concreta. Estas previsiones se acentúan, todavía más si cabe, con el deber de diligencia en la elección del encargado debido a las precisas condiciones fijadas por el Reglamento de Desarrollo de la LOPD. En lo que no han caído sin embargo ni el legislador ni el regulador es en la asimetría que caracteriza en el mercado a ciertas prestaciones de servicios. La sistemática del precepto responde a aquella expresión tan común y castiza que dice que «quien paga manda».
¿Pero qué ocurre cuando quien encarga el servicio no paga? ¿Y cuando el beneficio de mercado que le proporciona el coste del servicio es tal que le sitúa en un plano más propio de un consumidor que contrata con condiciones generales? ¿O cuando la posición dominante en el mercado del prestador deja prácticamente sin opciones de elección al responsable? Entonces cabe plantearse cómo abordar las características de un contrato tan peculiar como el del artículo 12 LOPD. Sucintamente expuestas estas serían las siguientes:
● El contrato no puede ser una mera declaración formal de cumplimiento, y mucho menos reiterar cláusulas contractuales tipo. El responsable debe indicar expresamente al encargado cómo realizará el tratamiento, que prohibiciones le impone, y en el caso concreto de las medidas de seguridad qué políticas específicas deberán seguirse. Y además, en lo que respecta a éstas responsables y encargados deberán documentar de modo preciso el encargo en el documento de seguridad. Y así, lo han señalado tanto la Agencia Española de Protección de Datos como el Tribunal Supremo. Con un contrato del artículo 12 LOPD, no se cumple una formalidad legal, se fijan las bases para la garantía de un derecho fundamental, y esto es algo tan razonablemente serio como para ir algo más allá de un mero cumplimiento formal.
● El responsable debe ser diligente en la elección del encargado y eso limita la libertad de empresa. No sirve cualquiera. Es ocioso recordar aquí que la libertad empresarial cede ante la garantía de un derecho fundamental. Pero en este caso lo hace de modo muy contundente. El responsable no puede contratar a “cualquiera” y mucho menos darle un cheque en blanco. Y el prestador de servicios debe demostrar que es capaz de operar en el mercado garantizando en su tarea el pleno respeto del derecho fundamental a la protección de datos personales. Además, a diferencia de otros sectores, la obligación de control del responsable se extiende a cualquier cadena de contratación.
● La formalización del encargo en un contrato de esta naturaleza delimita la responsabilidad del encargado que de algún modo de subroga y responde de la legalidad y adecuación a los pactos del tratamiento que realiza.
En conclusión, cuando por negligencia del responsable, abuso de posición dominante en el mercado o liberalidad del encargado, se firma un pseudocontrato del artículo 12 LOPD se ponen en riesgo los derechos fundamentales de los usuarios cuyos datos personales van a tratarse. De algún modo, se banaliza y cosifica la información personal que es tratada como una mercancía más, e incluso muy por debajo de cómo tratamos bienes en el mercado infinitamente menos valiosos.
Además, cuando el responsable ocupa una posición asimétrica debe vivir con el doble padecimiento de saber que “lo está haciendo mal”, que carece de alternativa, y que con un poco de mala suerte deberá asumir el riesgo de una sanción económica gravosa para su peculio y reputación y perfectamente asumible para el encargado.
Para corregir estas prácticas inadecuadas, tal vez hace falta un modelo de cláusulas contractuales tipo responsable-encargado, del mismo modo que los reguladores, tanto en el plano nacional como internacional, han definido cláusulas contractuales tipo para las transferencias internacionales de datos personales. Por cierto, si Vd. presenta ante la Agencia Española de Protección de Datos cláusulas contractuales tipo que se limiten a copiar-pegar los modelos, no le autorizarán la transferencia internacional de datos. Da que pensar ¿verdad?