En este artículo vamos a hablar de las implicaciones de los Contratos de Encargado de Tratamiento de Datos Personales que requiere el Reglamento Europeo y de los casos especiales de transferencias de datos a otras regiones. Además abordaremos las transferencias de datos a países fuera de la Unión donde disponen de legislaciones incompatibles con el Reglamento Europeo RGPD.

Tabla de Contenidos:

 

El endurecimiento de las sanciones por incumplimientos

 
En el año 2021 hemos visto sanciones récord por incumplimiento de RGPD en Europa. Una de ellas impuesta a Amazon por la Autoridad Supervisora de Luxemburgo (746M€) y la otra a WhatsApp por la Comisión Irlandesa de Protección de Datos (225M€). Ambas multas están sujetas a apelaciones en curso. Se ha multiplicado por 14 el record anterior de sanción que había sido impuesto a Google por las autoridades francesas.

Según un informe de DLA Piper, en el último año se han impuesto un total de 1.100M€ de multas por incumplimiento, que es casi siete veces más que el total del año anterior.

Por otro lado, en el último año se han notificado más de 130.000 infracciones de datos personales a los reguladores con un incremento del 8% de notificaciones diarias respecto al año anterior.

En el ranking de multas por país según este informe, encontramos en el Top 5 a Luxemburgo, Irlanda, que son sedes de conocidas multinacionales norteamericanas, seguidas por Italia, Alemania, España y Francia.

 

Ranking sanciones RGPD por país

En cuanto al Top 5 de notificaciones de brechas de seguridad se encuentran Alemania, Holanda, UK, Polonia y Dinamarca, seguidas en el Top 10 por Suecia, Finlandia, Francia, Noruega y España.

 

 

Mientras algunas autoridades han optado por imponer unas pocas multas de amplia notoriedad mediática (ej. Irlanda, Luxemburgo), otras han elegido la opción de imponer muchas más sanciones de cuantías inferiores (ej. Italia y España).

Este crecimiento en las sanciones y notificaciones, unido a la controversia generada por el incumplimiento en las transferencias de datos internacionales, constatan el endurecimiento de las sanciones y un creciente foco de los reguladores europeos en el control de la soberanía de los datos.

Un ejemplo de esto, es el reciente caso del Regulador Austriaco de Protección de Datos que ha determinado el incumplimiento de RGPD el uso de Google Analytics en el sitio web NetDoktor. Utilizando Google Analytics, todos los datos de qué leen los usuarios, sus intereses, acaban en servidores en Estados Unidos sin estar protegidos de forma apropiada contra un potencial acceso por parte de las agencias de inteligencia norteamericanas.
 

Partes de un Contrato de Encargado de Tratamiento de Datos

 
Tanto si trabajas con proveedores y les cedes datos personales, como si ofreces un servicio donde recoges datos personales de terceros, debes disponer, de acuerdo con el Reglamento Europeo, de un Contrato de Encargo de Tratamiento de Datos.

 

 

En este Contrato, que en ocasiones suele ser una adenda a un contrato más amplio, como un acuerdo de colaboración con un partner o proveedor, o los términos de uso de un servicio, existen dos figuras principales:

  • El Responsable del Tratamiento de Datos: Es quien controla y se responsabiliza de garantizar el cumplimiento de la RGPD en cuanto a la recopilación, gestión, acceso y revocación de los datos personales.

Un ejemplo sería una empresa con muchos empleados que firma un contrato con una asesoría para la gestión de nóminas para poder hacer el pago de salarios. La empresa cede a la asesoría los datos de los empleados nuevos, los que abandonan la empresa, etc. para el pago correcto de salarios, y la asesoría proporciona el sistema informático y almacena los datos de los empleados. En este caso, el Responsable del Tratamiento de Datos es la empresa, y el Encargado del Tratamiento es la asesoría.

El encargado nunca puede variar las finalidades o usos de los datos, ni los puede usar para sus propias finalidades. Por otro lado, está obligado a cumplir con las instrucciones, relativas a los datos, de quien le encomiende el servicio.

Los puntos fundamentales de este Contrato de Encargado son:

Identificar la parte Responsable y Encargada del Tratamiento: Por ejemplo, para el caso anterior identificar el rol de la empresa como Responsable y de su proveedor, la asesoría como Encargado.

Objeto del Encargo del Tratamiento: Dejando claro que el Encargado tratará los datos según lo requerido por el Responsable.

Actividad del Tratamiento e Identificación de la Información Afectada: Qué uso se le van a dar a los datos por parte del Encargado y qué tipo de datos se intercambian con él.

Derecho de Información en la Recogida de Datos: Indicando que es el Responsable quién realiza la recogida, y autorizaciones pertinentes.

Obligaciones del Encargado del Tratamiento:

  • Implicar a su personal o trabajadores.
  • Registrar las categorías de actividades del tratamiento.
  • Evitar ceder datos a terceros sin el consentimiento del Responsable (subcontratación, etc.).
  • Notificar al Responsable posibles discrepancias con RGPD en caso de detectarlas.
  • Asistir al Responsable en los derechos de acceso, rectificación, supresión, y oposición.
  • Notificar transferencias de datos.
  • Notificar violaciones de seguridad de datos.
  • Obligarse a adoptar medidas de seguridad de acuerdo a los fines del tratamiento de datos, y aquellas que determine el Responsable de Datos.
  • Devolución de los datos en caso de finalización contractual.

• Obligaciones del Responsable del Tratamiento de Datos:

  • Entregar los datos.
  • Realizar análisis de riesgo y evaluación de impacto en la protección de datos personales.
  • Velar por el cumplimiento de RGPD por parte del encargado.
  • Supervisar el tratamiento a través de auditorías e inspecciones.
  • Comunicar al Encargado cualquier variación en cuanto a la categoría de datos.

Duración del Contrato.

Jurisdicción del Contrato y Ley Aplicable.
 

Implicaciones destacables de un Contrato de Encargado de Tratamiento de Datos

 
Según el Reglamento, el Responsable del Tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Estas medidas de seguridad, recogidas en artículo 32 del RGPD incluyen entre otros:

a) la seudonimización y el cifrado de datos personales
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 


 
Por otro lado, cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este deberá elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

El Encargado, también deberá tomar las medidas necesarias listadas arriba del artículo 32, aparte de los puntos comentados más arriba en “Obligaciones del Encargado del Tratamiento”.

En el caso de una violación de la seguridad de los datos personales, el Responsable debe notificar a la autoridad de control sin dilación y en un plazo inferior a 72 horas después de tener constancia del incidente. De forma similar, el Encargado tiene la obligación de notificar al Responsable la violación de seguridad en caso de sufrirla.

De igual manera, cuando sea probable que la violación de la seguridad de los datos pueda ser un riesgo para los derechos y libertades de las personas físicas, el Responsable deberá comunicar por parte del encargado al interesado.

Esta comunicación al interesado NO es necesaria si se cumple alguna de estas condiciones:

1) el Responsable del Tratamiento ha adoptado medidas que hagan ininteligibles los datos personales para cualquier persona no autorizada a acceder a ellos, como el cifrado;
2) ha tomado medidas que garanticen que no exista probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.
3) La notificación suponga un esfuerzo desproporcionado y se opte por una comunicación pública.

En definitiva, supongamos que hemos recogido datos personales de terceros y los guardamos en ficheros Excel, PDFs, etc. para tenerlos registrados. Estos podrían ser datos de empleados, currículums, clientes, etc. Para almacenarlos hemos elegido el servicio de un proveedor Cloud de almacenamiento y compartición de ficheros, y subimos allí la documentación.

En caso de que el proveedor sufra una violación de seguridad, nosotros como Responsables del Tratamiento estaremos afectados por esta violación de datos personales que hemos recogido. La responsabilidad recae directamente sobre nosotros y no puede evadirse a pesar de que haya sido un proveedor quien la haya sufrido. Estaremos obligados a notificar a las autoridades, y a los interesados.

Sin embargo, si estos datos que se almacenan en el proveedor están cifrados y el control del cifrado lo tenemos nosotros como Responsables, la violación de seguridad en el proveedor hace ininteligibles los datos para quien pueda acceder a ellos. En este caso, no estaremos obligados a notificar a los interesados.

Con esta medida tan eficaz, cifrando los ficheros que almacenamos en un tercero y controlando su acceso, podemos evitar futuros quebraderos de cabeza, sanciones y pérdidas de reputación.
 

La problemática de las transferencias de datos internacionales

 
La Unión Europea, a través de la EU-RGPD, presenta restricciones a las transferencias internacionales de datos personales a países que no cuenten con una normativa adecuada. Si en el país donde viajan o se almacenan estos datos, se incumple lo requerido en la regulación estaremos frente a una transferencia de riesgo que puede ser bloqueada.

El enfoque de los Estados Unidos de América es muy distinto en cuanto al tratamiento de datos en comparación del modelo europeo. Aunque existen regulaciones como la NIST 800-171 o sectoriales (salud, financiero) y algunos Estados han establecido normas de privacidad, como es el caso de California, no hay una norma federal común. Esto ha hecho, que se hayan tenido que negociar entre la Unión Europea y Estados Unidos diferentes acuerdos para el tratamiento de datos: Safe Harbor (año 2000) o Privacy Shield (2016).

 

 

Sin embargo, y a pesar de estos acuerdos, el enfoque entre ambos bloques sigue siendo radicalmente distinto. Por simplificarlo: Europa dice que el nivel de protección debe viajar con los datos y Estados Unidos dice que se puede acceder a tus datos sin decírtelo, para lo que quieran y sin que puedas hacer nada.
 

Los casos Schrems I y II, y los retos de cumplimiento en las transferencias de datos

 
Maximilian Schrems, adquirió una notoriedad internacional con el “Caso Facebook”, en el que éste activista austriaco, que posteriormente ha creado la organización “My Privacy is None Your Business (NOYB)”, denunció las prácticas de Facebook al entregar los datos de sus usuarios a la Agencia de Seguridad Nacional (National Security Agency, NSA). Se conoce como Schrem I a la resolución del Tribunal de Justicia de la UE en 2015 que derivó en la invalidación del acuerdo de Safe Harbor para las transferencias de datos entre la Union Europea y Estados Unidos por considerar que no se seguía un tratamiento equiparable al exigido por la normativa europea.

Al quedar todas las transferencias de datos “en el aire” no se hizo esperar la probación de un nuevo acuerdo (Privacy Shield; 2016). Sin embargo, este Acuerdo no fue sino una repetición de las claúsulas anteriories por lo que se llegó a la sentencia Schrem II, por la que el Tribunal de Justicia Europeo invalida la utilización del Privacy Shield en Julio de 2020.

Actualmente, nos encontramos en una situación en la que no existe una decisión de adecuación que regule las transferencias de datos entre la Unión Europea y los Estados Unidos.

En caso de no contar con una decisión de adecuación, como el caso con Estados Unidos, el artículo 46 del Reglamento contempla la aplicación de ciertas garantías para casos muy concretos, cara a vencer la prohibición general. El artículo 46 dispone las siguientes alternativas para validar las transferencias a países no adecuados:

1) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
2) las normas corporativas vinculantes;
3) las cláusulas tipo de protección de datos adoptadas por la Comisión Europea;
4) las cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión Europea;
5) un código de conducta aprobado; o
6) un mecanismo de certificación aprobado

Sin embargo, incluso estas garantías a las que hace referencia el articulo 46 están en tela de Juicio para países como Estados Unidos por los que las circunstancias de la transferencia se deben evaluar caso a caso.
 

Medidas suplementarias para transferencias recomendadas por el Consejo Europeo de Protección de Datos

 
En Junio de 2021 la Comisión Europea ayudó a reducir esta disparidad en el cumplimiento publicando unas cláusulas contractuales estándar que recogen las recomendaciones del Consejo Europeo de Protección de Datos. En cualquier caso, cumplir con estas cláusulas no es algo trivial y queda fuera del alcance de muchas pequeñas y medianas empresas.

Entre las recomendaciones recogidas en esta publicación están:

    1. Conocer sus transferencias.
    2. Verificar el instrumento en el que se basa la transferencia, ya que si la transferencia se realiza a un país que la Comisión Europea ha declarado adecuado, no tendrá que tener en cuenta medidas adicionales.
    3. Evaluar si hay algo en la legislación o práctica del país que pueda afectar a las garantías de la transferencia
    4. Determinar y adoptar medidas complementarias necesarias para garantizar que el nivel de protección se ajusta a las normas de la UE, si se comprueba que la legislación del país afecta a la eficacia de lo descrito en el artículo 46 (ver arriba).
    5. Adoptar cualquier fase de procedimiento formal que pueda requerir la medida complementaria: Ej. consultar a las autoridades de control.
    6. Volver a evaluar a intervalos adecuados el nivel de protección.

En el Anexo 2 de este documento se describen ejemplos de medias técnicas, contractuales y organizativas que ayudan a garantizar el cumplimiento, para casos de terceros países donde sus autoridades pueden acceder al contenido de datos en tránsito (comunicaciones, etc.) o en reposo, almacenados por un tercero, exigiéndole que localice y extraiga datos de interés remitiéndolos a las autoridades.

Si vamos al ejemplo que poníamos más arriba donde almacenamos datos personales de terceros en un sistema de almacenamiento Cloud ubicado en EEUU, se pone como medidas complementarias:

• Utilización de cifrado en el transporte, o extremo a extremo en el caso de que el cifrado en transporte no sea suficiente.
Descifrado sólo posible fuera del tercer país en cuestión.
Utilización de una longitud de clave y algoritmo que se ajustan al estado de la técnica y pueden considerarse óptimos.
Custodia de la clave de cifrado en una jurisdicción con un nivel de cumplimiento adecuado.

En este caso el Consejo Europeo de Protección de Datos considerará que este cifrado de contenidos, aporta una medida complementaria eficaz.
 

Seguridad centrada en los datos para las transferencias de datos personales

 
La seguridad centrada en los datos proporciona un medio eficaz y sencillo de cifrar la información extremo a extremo permitiendo que los datos personales contenidos en ficheros viajen protegidos y bajo control:

La seguridad viaja con el documento, allí donde se almacene.
• Es persistente y se aplica tanto en tránsito, como en reposo y en uso.
• Existe independencia de quién tiene almacenados los datos y quién tiene el control sobre el cifrado aplicado.
• Permite una auditoría completa de accesos, intentos de acceso bloqueados, etc.
• Permite revocar el acceso en remoto, dejando el documento inaccesible allí donde se encuentre.
• Establece controles de acceso granulares: Por persona, grupo, dominio, etc.
• Establece niveles de permisos sobre los datos: Sólo leer, editar, pero no copiar y pegar, etc.

Proteger documentos SealPath

En este sentido, y ciñéndonos al ejemplo de almacenamiento de ficheros con datos personales en un proveedor de nube, podemos asegurar que controlamos esos datos ya que llevan un cifrado controlado por nosotros, por lo que una posible fuga en el proveedor no va a afectarnos y evitará notificar a los afectados.

Para el caso de transferencias a terceros países con legislaciones incompatibles con EU-RGPD, permite aplicar las medidas técnicas complementarias recomendadas por el Consejo Europeo de Protección de Datos en la publicación de Junio de 2021: Un cifrado en tránsito y reposo sobre los datos, con la capacidad de descifrar los datos bajo el control en una ubicación o país que cumple los criterios de EU-RGPD, y que adicionalmente dispone de controles de acceso, permisos y capacidades de auditoría que ayudan a maximizar el control del dato.
 

Conclusiones

 
Visto el reciente caso de Austria de considerar que sistemas como Google Analytics no cumple con los criterios de EU-RGPD, y los diferentes puntos de vista de bloques como la Unión Europea y Estados Unidos respecto al tratamiento de datos personales, no es de extrañar ver un creciente foco en los reguladores Europeos por el cumplimiento de la seguridad en las transferencias de datos internacionales y un incremento de sanciones.

Visto que una brecha de seguridad en un Encargado del Tratamiento de Datos personales no exime al Responsable de su deber en la gestión de los datos personales, es necesario disponer de Contratos de Encargado de Tratamiento de Datos Personales adecuados con los diferentes proveedores y aplicar medidas técnicas suplementarias que nos ayuden a garantizar el cumplimiento.
Como se refleja en la propia regulación y las medidas suplementarias recomendadas por el Consejo Europeo de Protección de Datos para las transferencias internacionales en riesgo, el cifrado en tránsito y reposo unido a una separación de quién dispone de los datos y quién dispone de la capacidad de descifrarlo son uno de los mecanismos más potentes y recomendables para garantizar el correcto tratamiento de los datos personales.

En el caso del proveedor descrito arriba, la encriptación que ofrece SealPath minimiza el riesgo. El fichero se mantiene siempre protegido, incluso cuando los usuarios, estén donde estén, abran el fichero para verlo, editarlo o procesarlo.

Si quieres saber más sobre cómo SealPath puede ayudarte a proteger tus datos en reposo, en tránsito y en uso, contacta con nosotros aquí.