Regreso, brevemente a este abandonado blog tal vez más con la intención de lanzar preguntas que la de responderlas. Me hallo inmerso en la corrección de los extraordinarios trabajos de mis estudiantes en el Máster en Sistemas y Servicios de la Sociedad de la Información, a los cuales he condenado a una pequeña auditoria previa sobre la implementación de condiciones de cumplimiento de la LOPD en una empresa ficticia. En lo que atañe a la figura encargado del tratamiento detecto algunas cuestiones ciertamente interesantes y no muy distintas de las que uno alcanza a verificar en el ejercicio profesional.

Prestador de servicios del S. I.

En primer lugar, y como es lógico, existe una tendencia, -yo diría que innata-, a la estandarización. En este mundo de las tecnologías de la información si alguien hiciese un estudio estadístico de la instrucción más utilizada en los procesadores de texto me temo que “copiar-pegar” ganaría por goleada. Hablamos de contratos  en ocasiones extraordinariamente extensos y detallados, muchos de ellos localizables en Internet, y que sin duda recogen, amplían y detallan, todos y cada uno de los aspectos que establece el art. 12 LOPD y la ordenación complementaria del RLOPD. Sin embargo, son documentos sin alma que sirven lo mismo para una empresa de envíos postales, que para otra de paquetería o para un asesor laboral. Basta con cambiar la identidad de las partes, y el objeto de la prestación y tenemos nuevo contrato. Desde un cierto punto de vista, y por reducción al absurdo, el contrato no significa otra cosa que decir que la Parte A y la Parte B se reconocen mutuamente como responsable y encargado y juran, palabrita del Niño Jesús, que van a cumplir las normas.

Sin embargo, al menos desde el punto de vista de la seguridad, cuando el regulador redactó el artículo 82 RLOPD pretendía que las cláusulas del contrato, -o sus o anexos-,  fueran específicas y adaptadas a las condiciones del prestador. Sólo en ocasiones algunos se molestan en incluir tablas con el resumen de medidas, como el que proponemos en los Comentarios al Reglamento (perdone el lector el breve espacio publicitario), acompañados de recuadros para marcar crucecitas.  Y es una obviedad que incluso en el mismo sector un encargado y otro no tienen nada que ver, sin ir más allá de comparar la configuración física de sus locales. Y no profundicemos en las cláusulas del tipo “el encargado se someterá a las instrucciones del responsable” en contratos en los que ni en él, ni durante la relación existe instrucción alguna.

Es más, resulta sorprendente que en contratos que se relacionan con uno más general de prestación de servicios, abogados más que curtidos en el foro ni siquiera se planteen incluir cláusulas de naturaleza indemnizatoria referidas no ya al incumplimiento de la LOPD por el encargado, sino al resarcimiento del daño que pudieran causar éstos, y muy especialmente un daño como el reputacional cuya estimación por un juez civil es muy compleja al tratarse de daños en ocasiones morales de difícil cuantificación.

El otro elemento ciertamente sorprendente es el relativo a la prueba de la diligencia en la elección del encargado. Es práctica habitual incluir declaraciones del tipo “el encargado declara haber inscrito sus ficheros”.  ¿Cómo que declara? Si el responsable debe cumplir con su obligación del art. 20.2 de «velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento», debería molestarse en conectarse al Registro General de Protección de Datos, verificar que efectivamente se han inscrito y adjuntar una impresión de pantalla en el anexo oportuno, que para eso también sirve “copiar-pegar”.

Por otra parte, hay un pequeño detalle que se nos suele escapar: el informe de auditoria. El lector, avezado y conocedor de la norma nos dirá aquello de “ojo sólo si se trata de ficheros a los que aplicar un nivel medio o alto de seguridad”. yo prefiero incluir una cláusula del tipo “facilitar los controles y auditorías que pretenda realizar el responsable del fichero”. Pues lo siento, con todos mis respetos puede que el lector se equivoque con esta estrategia.

En primer lugar, las medidas de seguridad se conciben como mínimos obligatorios. Así que si una empresa cuya tarea consiste esencialmente en prestar servicios que comporten el tratamiento de datos personales quiere competir en el mercado y ofrecer confianza a sus clientes debería auditarse, tenga o no la obligación. Con ello, facilitaría enormemente la tarea a quien les contrata no haría falta someterse a controles del propio responsable, bastaría con exhibir una certificación. Y esto, si al lector le suena a chino o extraño no es sino el resultado de un funcionamiento epidérmico en el cumplimiento normativo por parte del sector ya que en todos los ámbitos, públicos o privados, quien quiere demostrar excelencia certifica su calidad sea obligatorio o no.

En segundo lugar, cuando el responsable impone al encargado un deber de soportar su control se sitúa ante un doble riesgo. Primero, el prestador por su actividad habrá firmado contratos “igualitos” con centenares de terceros. Así que o tiene unos sistemas de información estancos o ¿a alguien se le ocurre como auditará sin infringir los deberes de confidencialidad contraídos con los otros N_99 clientes? Es más, ámbitos como el Cloud son muy difíciles de auditar. La segunda cuestión reside en qué auditar y cómo sin poner en riesgo aspectos críticos. Por último, quien se compromete contractualmente a la posibilidad de auditar ¿a qué nivel eleva su canon de diligencia? ¿Alguien ha imaginado el supuesto en el que una infracción del encargado pudiera haberse detectado ejecutando la auditoria de la que habla el contrato? Y en ese caso, ¿habremos sido diligentes?

Y ello, estimado lector me conduce a una pregunta adicional, si Vd. incluye este tipo de clausulado y no va a “controlar o auditar” en el menor de los casos incluye una cláusula vacía de contenido, y en el peor, y este no es un concepto jurídico relevante: miente. Y si no miente, permítame una ulterior pregunta ¿podrá soportar los costes adicionales de los controles de modo que le resulte, aun así, rentable externalizar? ¿No seria más razonable que quien quiere venderme sus servicios como encargado soporte el coste de demostrar que puedo confiar en él?