El Informe 0457/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las medidas que debe adoptar un responsable del tratamiento de datos personales cuando contrata a un tercero encargado para prestar un servicio que implique el tratamiento de dichos datos. Este informe se basa en la Ley Orgánica 15/1999 y su Reglamento, el Real Decreto 1720/2007.
El artículo 20.2 del Reglamento establece que el responsable del tratamiento debe asegurarse de que el encargado del tratamiento cumpla con las garantías exigidas por la normativa. Esto incluye la implementación de medidas de seguridad técnicas y organizativas necesarias para proteger los datos personales, como la elaboración de un documento de seguridad que sea de obligado cumplimiento para el personal con acceso a los datos.
La Ley Orgánica 15/1999, en su artículo 9, subraya la obligación del responsable del fichero y del encargado del tratamiento de adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos personales. Además, el artículo 12.2 de la Ley especifica que el tratamiento por cuenta de terceros debe estar regulado por un contrato escrito que establezca las instrucciones del responsable, las medidas de seguridad a implementar y la obligación de destruir o devolver los datos una vez cumplida la prestación contractual.
El informe también destaca la importancia de la supervisión y control por parte del responsable del tratamiento. El artículo 20.2 del Reglamento permite al responsable realizar controles durante la vigencia del contrato para verificar el cumplimiento de las medidas de seguridad y adoptar las medidas correctoras necesarias. Esto incluye la elaboración e implantación de un documento de seguridad que debe ser actualizado y revisado periódicamente.
El Reglamento clasifica las medidas de seguridad en tres niveles (básico, medio y alto) según la naturaleza de la información tratada. El encargado del tratamiento debe cumplir con las medidas de seguridad correspondientes al nivel de los datos a los que accede, incluso de manera excepcional. Además, a partir del nivel medio, se debe designar un responsable de seguridad que coordine y controle el cumplimiento de las medidas de seguridad.
El artículo 96.1 del Reglamento exige que los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos se sometan a una auditoría interna o externa al menos cada dos años para verificar el cumplimiento de las medidas de seguridad. El informe de la auditoría debe estar a disposición de la AEPD, lo que refuerza el control y la transparencia en el cumplimiento de la normativa de protección de datos.
En resumen, el informe subraya la necesidad de un contrato escrito detallado, la implementación de medidas de seguridad adecuadas, la supervisión continua y la realización de auditorías periódicas para garantizar que el encargado del tratamiento cumpla con las exigencias legales en materia de protección de datos personales.