Logo

El portal de Derecho Español más completo y útil para jurístas, empresas y particulares

Duda entre compañeros (LOPD)

2 Comentarios
 
Duda entre compañeros (lopd)
14/02/2005 18:31
Estimados compañeros,

planteo un tema que, al comentarlo con otros compañeros, unos opinan una cosa, y yo otra. Me gustaría ver la opinión de los que aquí colaboran, que los considero de los más autorizados:

Contrato de Encargo de Tratamiento: en cuanto a su contenido, la LOPD, artículo 12, dice literalmente: "En el contrato se estipularán asimismo las medidas de seguridad a que se refiere el artículo 9º de esta ley, que el encargado del tratamiento está obligado a implementar".

Mi pregunta es:
el Encargado, en dicho documento de Encargo, ¿ha de detallar, concretar y especificar qué medidas de seguridad específicas piensa aplicar?, o por el contrario basta con remisiones genéricas del tipo "se aplicarán las medidas de índole técnico y organizativas previstas en la LOPD o en el Reg. de Medidas de Seg:2, o del tipo " se aplicarán las medidas de seguridad corresondientes al nivel X contempladas en el REg. de Med. de Seg.".

Gracias anticipadas.

Javier Hernández.
15/02/2005 12:17
En mi opinión, procuraría especificar las medidas que debe adoptar el encargado del tratamiento. Según la Ley, bastaría un pronunciamiento genérico, pero en la práctica es muy probable que ante una fuga de datos, sancionen tanto al encargado como al responsable del tratamiento. ¿Por qué? Habría varias razones, una de ellas sería evitar que las organizaciones crearan sociedades "virtuales" y en un futuro insolventes para evitar sanciones de la APD. Otro caso, sería porque el responsable del fichero debe garantizar que se están adoptando las medidas de seguridad. Y por otro lado, yo especificaría puesto que es importante delimitar cuáles son las funciones y quién asume responsabilidades sobre las medidas a observar.
En definitiva, aunque parece permitirse por la lopd un clausulado genérico, ante un problema en futuro, es muy probable la sanción a ambas empresas y nosotros como responsable deberíamos probar que hemos actuado de la forma más adecuada posible dentro de nuestras posibilidades, incluso reservándonos el derecho a auditar al encargado del tratamiento para ver si realmente se cumplen las medidas.
Pensad que hay que cumplir un objetivo fundamental que es garantizar la seguridad de los datos y que el mismo RD nos fija una seríe de objetivos, pero tampoco nos dice como deben desarrollarse en muchos casos(ejemplo:formación), deja en manos del responsable de seguridad valorar qué medidas deben adoptarse en función a su organización, para ello es bueno acudir a buenas prácticas del mercado o estándares de seguridad. Os aseguro que ante una fuga de datos nos sancionan seguro, por eso es muy importante que un responsable de seguridad domine el ámbito legal y técnico de la LOPD o bien tener dos responsables de seguridad... El RD es muy genérico y no son sólo veintitantas medidas a implantar.

Saludos,

Alberto J.
21/02/2005 10:03
Hola Javier,

No tienes obligación de detallar las medidas de seguridad concretas en el contrato de encargo. Basta con que relates las obligaciones del responsable y del encargado según las estipulaciones del artículo 12.

Aunque puedes detallar las medidas, te recomiendo que, a menos que el responsable esté seguro del tratamiento de los datos que va a realizar en el sentido de que no haya posibilidad de someter a tratamiento en el futuro u ocasionalmente datos de nivel medio o alto, no detalles las medidas de seguridad concretas en el contrato de encargo.

Una solución aceptable puede ser detallar las medidas en un anexo al contrato de encargo, que siempre será más fácil modificar que el propio contrato de encargo.

Un saludo,
Daniel Santos
www.abogadosantosrojas.com