Requisitos para la externalización del tratamiento
Vimos anteriormente cómo clasificar los datos, qué medidas de seguridad exigía su proceso dependiendo de su tipo y qué significaba el Cloud, o la simple externalización de los datos que procesamos, a los efectos de responsabilidad, tanto legislativa como corporativa, del Responsable de tratamiento.
En este capítulo vamos a intentar dar respuesta a los interrogantes que un Responsable de datos debe plantearse ante la externalización del tratamiento.
Como pudimos observar previamente que el tratamiento externalizado se realice en la nube o no es algo secundario y sólo afectará respecto a la necesidad de establecer medidas específicas ante tratamientos en Cloud que eviten que el proveedor pueda zafarse de obligaciones contractuales establecidas en la relación.
Siempre partiendo de que la premisa básica es la responsabilidad indelegable del Responsable del tratamiento, toda relación que suponga el encargo o la delegación del tratamiento en sí requerirá:
- Unas medidas adecuadas de protección. Estas medidas vendrán dadas por requerimientos corporativos o legales. La responsabilidad de la adopción de estas medidas corresponde en exclusiva al Responsable de tratamiento.
- Las empresas externas de las que nos valgamos para realizar el tratamiento tienen que ser capaces de cumplir las medidas de seguridad impuestas, haber homologado previamente y de forma continua tal capacidad, tener la posibilidad de certificar tal cumplimiento por un ente independiente y ser capaces de ser auditadas en su cumplimiento.
- Dado que no se cede la responsabilidad del tratamiento, las empresas externas tendrán que asegurarnos contractualmente la indemnización del no cumplimiento de las medidas de seguridad acordadas.
- La indemnización por no cumplimiento de las empresas externas debe alcanzar incluso causas legales o de fuerza mayor que afecten a la empresa externa.
Veamos en detalle todos y cada uno de estos requisitos.
Medidas adecuadas de protección
Las medidas adecuadas de protección dependerán bien de una norma legislativa, caso de los datos personales, bien de la política de confidencialidad definida por la propia corporación.
El objetivo de las medidas de protección es siempre la salvaguarda de los datos en el tratamiento y, dada la responsabilidad indelegable del Responsable del tratamiento, será éste quien deba señalar su adopción, esto es, qué medidas han de adoptarse, cómo han de adoptarse y cómo deben verificarse.
Lo anterior es necesario porque tanto en el caso de las medidas impuestas legislativamente como en las impuestas corporativamente, su definición será genérica señalando más bien un objetivo a cumplir por la medida que la concreta medida en sí, y es por tanto al Responsable al que incumbe definir los requisitos técnicos que requiera la medida en sí.
Así por ejemplo cuando el Reglamento de Protección de datos obliga a “adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios” es el Responsable quién deberá seleccionar de entre las tecnologías existentes cómo garantizar la identificación y autenticación y evaluar si ciertas tecnologías cumplen con esta función. Y será él quien deberá establecer que la autenticación mediante DNI electrónico cumple tal premisa, pero, ¿será capaz igualmente de sostener que cumple tal premisa una autenticación delegada a Facebook o LinkedIn?
Homologación y certificación de las medidas de protección
Definidas técnicamente las medidas de protección requeridas para el tratamiento, deberemos asegurarnos de que éstas se cumplen. Evidentemente, si el tratamiento se produce en la propia empresa esto se garantizará mediante el poder de dirección de la propia empresa, pero si el tratamiento es externo será el contratista quien tenga que acreditar que cumple los requisitos impuestos y, evidentemente, la mejor forma de acreditarlo es mediante la homologación o certificación de sus procesos y la auditoría constante que demuestre que siguen vigentes.
Por tanto, de forma previa a la cesión de datos, deberán quedar perfectamente definidas las medidas a tomar por el proveedor, la certificación u homologación que el proveedor ofrece para la acreditación de la adopción de dichas medidas, así como las auditorías que se van a realizar para la comprobación de su efectivo establecimiento.
Asegurar las medidas acordadas
La garantía con el proveedor externo de que las medidas acordadas se están realizando no sólo debe contemplarse mediante la certificación y auditoría correspondiente, sino que debe quedar asegurada mediante el correspondiente traslado de la responsabilidad, y dado que la responsabilidad es indelegable se deberá contemplar la indemnización correspondiente ante el incumplimiento del proveedor.
Estas indemnizaciones deben cubrir al menos la indemnización exigible al Responsable de datos como responsabilidad civil, como lucro cesante por la revelación de sus secretos o como cantidades debidas por asumir una sanción ante una vulneración legal.
Alcance de la indemnización
La indemnización debe alcanzar todos los casos de incumplimiento del proveedor, aún en los casos de fuerza mayor o imperativo legal, y si los datos son personales someter la jurisdicción al Espacio Económico Europeo de tal manera que éstos siempre queden salvaguardados de acuerdo a la Legislación Europea.
Esto nos permite asumir las pérdidas sobrevenidas al ser indemnizados incluso cuando las vulneraciones realizadas por el proveedor se han realizado por indicación de su propio Gobierno u otra Autoridad.
Flujograma de toma de decisión
El siguiente flujograma nos muestra de forma básica los pasos a seguir ante la externalización del tratamiento de datos.
Si queréis comentarnos lo que sea, o tener más detalle, podéis contactar con nosotros a través de info@kabel.es
