La importancia del contrato de tratamiento en LOPD

Es casi inevitable que hoy día, debido a la complejidad de muchos procesos que ha de abordar una empresa o profesional, se recurra en algunos casos a subcontratar servicios con terceros. Y en ocasiones es necesario que para prestar tales servicios se tenga acceso a datos de carácter personal. En tales casos es imprescindible la firma de un contrato de tratamiento de datos, de forma que ante algún problema queden claras las responsabilidades de cada parte.

Los ejemplos son numerosos: el asesor mercantil que lleva la contabilidad y gestiona los temas laborales, la agencia de publicidad que envía correos personalizados a los clientes, servicios informáticos como reparación de ordenadores o alojamientos de sitios web, la empresa de destrucción que se encarga de la eliminación de documentación… etc.

El contrato de tratamiento es el “blindaje” con que la empresa o profesional se cuida de futuras repercusiones en el caso de que ese tercero haga un mal uso de la información.

Vamos a ver un ejemplo de lo que puede pasar y como actúa el escudo del contrato de tratamiento.

En el Procedimiento Nº PS/00448/2015 instruido por la Agencia Española de Protección de Datos (AEPD) a CATALUNYA BANC S.A encontramos una denuncia acerca de la aparición en el margen de una carretera de una serie de residuos, entre ellos documentación oficial de la entidad. A dicho lugar se trasladó una patrulla de Seprona realizándose reportaje fotográfico de los objetos hallados (router de internet y documentación). Entre los papeles encontrados figuraban copia de un DNI, contrato de cuenta corriente, una escritura notarial de poder especial, contratos de planes de ahorro garantizado y solicitudes de tarjeta.

La caja alegó que disponía de un contrato con una empresa externa de destrucción documental (que aportó al expediente) e incluso de un certificado de destrucción de ese material y que por su parte se habían instaurado todas las medidas de seguridad pertinentes y que por tanto no podía considerarse responsable de la perdida de esos documentos. Por su parte la empresa de destrucción reconoció el error de uno de sus empelados al proceder a depositar la caja en un punto limpio en vez de realizar su destrucción. Suponen que posteriormente se produjo un robo en dicho punto limpio y el material no interesante para los ladrones fue abandonado en la cuneta donde aparecieron.

La AEPD aclara en los fundamento de derecho:

Debe por tanto deducirse que no procede apreciar culpabilidad en CATALUNYA BANK, sobre el supuesto que no adoptó las medidas necesarias para impedir cualquier recuperación posterior de la información de carácter personal que contenían dichos documentos. Sin que de los hechos se derive una falta de diligencia en la custodia de dicha documentación. Ya que la obligación de custodia de la misma, en su traslado y destrucción confidencial, recaía en entidad contratada a tal efecto Por tanto la concurrencia de una intervención activa de un encargado de tratamiento y de un tercero (subcontratado) con sus propias obligaciones en cuanto a la custodia de la información con datos de carácter personal y posterior destrucción), permite considerar el archivo del presente procedimiento sancionador.

De esta forma la entidad bancaria queda exonerada de toda responsabilidad gracias a haber cumplido con los preceptos legales que le obligan como responsable del fichero a documentar cualquier tratamiento de datos.