En el modelo de gobernanza de los datos personales previsto en el RGPD y replicado en la LOPDGDD nos encontramos con tres figuras: responsable, encargado y delegado de protección de datos, sin perjuicio del análisis de las figuras de responsable y delegado, la condición ajena a la organización que suele caracterizar al encargado, y su condición, en muchos casos, de contratista de la administración pública exige prestar especial atención a cómo afecta la LOPDGDD a la contratación pública.
El encargado del tratamiento se presenta como toda persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, definido como tal en el art. 4 RGDP, y sobre el mismo actúan dos normativas sectoriales, la de contratación y la relativa a la protección de datos personales, en la forma que exponemos a continuación.
I.- Ley 9/2017,de 9 de noviembre, de Contratos del Sector Público (LCSP)
Por su parte, la LCSP regula el tratamiento de datos personales por los contratistas públicos en su Disposición Adicional Vigesimoquinta. Disposición que establece que los contratos que se rigen por la misma deberán respetar en su integridad la normativa en materia de Protección de Datos de Carácter Personal, normativa que ahora se conforma básicamente por el RGPD y el LOPDGDD, sin perjuicio de que cuando finalice la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado de tratamiento que ésta hubiese designado. Puntualiza que, en todo caso, el tercero encargado del tratamiento conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.
Y para el supuesto de que un tercero trate datos personales por cuenta del contratista, encargado del tratamiento, deberán de cumplirse los siguientes requisitos:
- Que dicho tratamiento se haya especificado en el contrato firmado por la entidad contratante y el contratista.
- Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
- Que el contratista encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en la LOPDGDD
En este caso ese tercero tendrá también la consideración de encargado del tratamiento, en los términos establecidos en el RGPD, debiendo cumplir las prescripciones establecidas para el cumplimiento de sus obligaciones, según contrato o acto jurídico tal y como se expondrá .
II.- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales
Con la aprobación y entrada en vigor de la LOPDGDD debemos tener en consideración una serie de aspectos:
- Deber de confidencialidad
Los encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) RGPD, y esta obligación se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
- Plazo
La Disposición Transitoria Quinta LOPDGDD dispone que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el art. 28 RGPD y en el Capítulo II del Título V LOPDGDD.
- Seguridad de los tratamientos
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad, aprobado por Real Decreto 3/2010, de 8 de enero.
- Tratamiento de los datos a la extinción del vínculo
El responsable del tratamiento, dentro de la respectiva administración, será el que determine si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado. No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento
A pesar de que el art. 33.2 LOPDGDD, señala que tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el art. 28.3 RGPD, esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la LCSP. Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.
Además de estas prescripciones debemos recordar que los contratistas en cuanto encargados de los tratamientos estarán sujetos al nuevo régimen de protección de datos y a las obligaciones de información y transparencia, llevanza del registro de actividades de tratamiento y demás previstas en el RGPD y LOPDGDD, por lo que, sin perjuicio de lo apuntado para los contratos en vigor, las Administraciones Públicas deberán tener muy en cuenta el mismo a la hora de licitar los nuevos contratos.