El Informe 0155/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las normas de seguridad aplicables a una empresa que actúa como encargada del tratamiento de datos personales de sus clientes, conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
La consulta se centra en la situación en la que la empresa presta servicios mediante control remoto sobre los sistemas del cliente, sin utilizar sistemas propios ni realizar copias de los datos en sus instalaciones. Según el artículo 82.1 del Reglamento, cuando el acceso remoto se realiza por el encargado del tratamiento y se prohíbe la incorporación de los datos a sistemas o soportes distintos de los del responsable, este último debe hacer constar esta circunstancia en su documento de seguridad. Además, el personal del encargado debe comprometerse al cumplimiento de las medidas de seguridad previstas en dicho documento.
El informe destaca que el responsable del tratamiento debe incluir en su documento de seguridad el acceso remoto realizado por el encargado y asegurarse de que exista un compromiso real de cumplimiento de las medidas de seguridad. Este compromiso debe constar en el contrato celebrado con el responsable, conforme a lo exigido por el artículo 12.2 de la Ley Orgánica 15/1999.
La consultante indica que en los contratos de servicio con sus clientes se especifica lo que regula el artículo 12 de la LOPD y que su personal se compromete al cumplimiento de las medidas de seguridad previstas en el documento de seguridad del cliente. Esto se considera conforme a las exigencias del artículo 82 del Reglamento, por lo que no es necesaria la inclusión del tratamiento remoto en el documento de seguridad del encargado.
El informe también aclara que la aplicación del artículo 82.2 se refiere únicamente a los supuestos en los que la consultante actúa como encargada del tratamiento y se produce un acceso remoto a los datos. Por lo tanto, la empresa no queda exonerada del deber de cumplir con el Reglamento en los casos en los que actúe como responsable del tratamiento o cuando, siendo encargada, el acceso a los datos no se realice en los términos especificados en la consulta.
Finalmente, se recomienda reforzar los compromisos de no realización de copias o tratamientos de los datos a los que se accede de forma remota, asegurando que el personal que acceda a los datos no disponga de recursos de software u otros medios que permitan el almacenamiento de los datos accedidos de forma remota.