Per determinar les relacions entre el responsable del tractament i l'encarregat de tractament en l'àmbit de les administracions públiques, hem de partir, en primer lloc, de les definicions que estableix l'RGPD.
L'RGPD defineix, en l'article 4.7, com a «responsable del tractament» o «responsable»:
«La persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determina els fins i els mitjans del tractament; si el dret de la Unió o dels estats membres determina els fins i els mitjans del tractament, el responsable del tractament o els criteris específics per nomenar-lo podrà establir-los el dret de la Unió o dels estats membres.»
Respecte a la definició d'«encarregat del tractament» o «encarregat», segons l'RGPD:
«la persona física o jurídica, autoritat pública, servei o un altre organisme que tracta dades personals a compte del responsable del tractament».
En l'Administració, trobam els supòsits típics d'encarregats de tractament, com poden ser la contractació d'una empresa perquè destrueixi documents, o d'un servei de computació en el núvol, així com qualsevol altre que hagi estat contractat per l'Administració corresponent per prestar un servei que comporta un tractament de dades de caràcter personal.
Les obligacions generals que han de tenir-se en compte a l'hora de formalitzar una relació entre el responsable del tractament i un prestador de serveis que sigui encarregat del tractament les defineix l'article 28 de l'RGPD. En particular, el contracte o acte d'encàrrec de tractament ha de contenir:
- Les instruccions del responsable del tractament.
- El deure de confidencialitat.
- Les mesures de seguretat.
- El règim de la subcontractació.
- La manera com l'encarregat assistirà el responsable en el compliment de l'obligació de respondre l'exercici dels drets dels interessats.
- La col·laboració en el compliment de les obligacions del responsable.
- El destí de les dades en finalitzar la prestació.
Per facilitar la formalització d'aquest tipus de contractes una vegada que és aplicable l'RGPD, l'AEPD en col·laboració amb l'Agència Basca de Protecció de Dades i l'Autoritat Catalana de Protecció de Dades, ha publicat el document «Directrius per a l'elaboració de contractes entre responsables i encarregats del tractament», que conté un annex amb un exemple de clàusules contractuals per als supòsits en què l'encarregat del tractament tracta les dades en els locals del responsable.
La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals ha regulat de manera específica aquesta figura en l'article 33 i completa la regulació de l'RGPD:
Article 33. Encarregat del tractament
1. L'accés per part d'un encarregat de tractament a les dades personals que resulten necessàries per prestar un servei al responsable no es considera comunicació de dades sempre que es compleixi el que estableix el Reglament (UE) 2016/679, en aquesta Llei orgànica i en les seves normes de desenvolupament.
2. Té la consideració de responsable del tractament i no la d'encarregat qui, en el seu propi nom i sense que consti que actua a compte d'un altre, estableixi relacions amb els afectats encara que existeixi un contracte o acte jurídic amb el contingut fixat en l'article 28.3 del Reglament (UE) 2016/679. Aquesta previsió no és aplicable als encàrrecs de tractament efectuats en el marc de la legislació de contractació del sector públic.
Té també la consideració de responsable del tractament qui figuri com a encarregat i utilitzi les dades per a les seves pròpies finalitats.
3. El responsable del tractament ha de determinar si, quan finalitzi la prestació dels serveis de l'encarregat, les dades personals han de ser destruïdes, tornades al responsable o lliurades, si escau, a un nou encarregat.
No és procedent destruir les dades quan existeixi una previsió legal que obligui a conservar-les, cas en el qual han de ser tornades al responsable, que n'ha de garantir la conservació mentre persisteixi aquesta obligació.
4. L'encarregat del tractament pot conservar, degudament bloquejades, les dades, sempre que es puguin derivar responsabilitats de la seva relació amb el responsable del tractament.
5. En l'àmbit del sector públic podran atribuir-se les competències pròpies d'un encarregat del tractament a un determinat òrgan de l'Administració General de l'Estat, l'Administració de les comunitats autònomes, les entitats que integren l'Administració local o els organismes que hi estan vinculats o que en depenen, adoptant una norma reguladora d'aquestes competències, que ha d'incorporar el contingut exigit per l'article 28.3 del Reglament (UE) 2016/679.
La regulació de la contractació de tercers prestadors de serveis en qualitat d'encarregat del tractament ha estat recentment actualitzada amb la reforma mitjançant Reial Decret llei 14/2019, de 31 d'octubre, de la Llei 9/2017, de 8 de novembre, de contractes del sector públic, per la qual es transposen a l'ordenament jurídic espanyol les directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014. Aquesta reforma excedeix els objectius d'aquest curs per la seva complexitat, però determina:
-
L'obligació d'incloure una referència a la legislació aplicable al contracte, amb expressa menció a la submissió a la normativa nacional i de la Unió Europea en matèria de protecció de dades.
-
La inclusió obligatòria en els plecs de clàusules administratives particulars dels elements següents:
a) La finalitat per a la qual se cedeixen aquestes dades.
b) L'obligació del futur contractista de sotmetre's en qualsevol cas a la normativa nacional i de la Unió Europea en matèria de protecció de dades, sens perjudici del que estableix el darrer paràgraf de l'apartat 1 de l'article 202.
c) L'obligació de l'empresa adjudicatària de presentar, abans de formalitzar el contracte, una declaració en què posa de manifest on estaran ubicats els servidors i des d'on es prestaran els serveis que hi estan associats.
d) L'obligació de comunicar qualsevol canvi que es produeixi, durant la vigència del contracte, de la informació facilitada en la declaració a què es refereix la lletra c) anterior.
e) L'obligació dels licitadors d'indicar en l'oferta, si tenen previst subcontractar els servidors o els serveis que hi estan associats, el nom o el perfil empresarial, definit amb referència a les condicions de solvència professional o tècnica, dels subcontractistes als quals s'encomani que ho facin.
-
La consideració de les clàusules anteriors –(a)-(e)– com a essencials i causa de resolució del contracte.
-
És possible no només la resolució per incomplir aquestes clàusules essencials. Existeix la prohibició de contractar les empreses el contracte de les quals hagi quedat resolt per incompliment culpable del contractista de les obligacions que els plecs han qualificat d'essencials.
En l'àmbit del sector públic definit per la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, és possible una relació entre responsable i encarregat a través d'una comanda de gestió, d'un conveni o contracte administratiu. En aquest darrer cas, la disposició addicional 25a de la Llei 9/2017, de 8 de novembre, de contractes del sector públic, per la qual es transposen a l'ordenament jurídic espanyol les directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014, determina que
«En el cas que la contractació impliqui l'accés del contractista a dades de caràcter personal del tractament de les quals sigui responsable l'entitat contractant, aquell té la consideració d'encarregat del tractament», amb les especificitats establertes en tal disposició addicional.»
Tanmateix, el que entre entitats particulars quedava clar amb la signatura d'un contracte ha suscitat dubtes moltes vegades al si de les administracions públiques, en què sovint les estructures orgàniques assignen una/unes unitat/unitats, subdireccions generals/serveis/negociats, funcions de gestió, etc. a una altra unitat, subdirecció general d'informàtica, agència, etc. Entre aquestes funcions hi ha:
-
El desenvolupament dels sistemes d'informació necessaris per al funcionament dels serveis, el portal web, la seu electrònica, la intranet, les eines col·laboratives i els dominis d'Internet del/de la [Ministeri/CA/Ajuntament].
-
L'impuls de l'administració digital del/de la [Ministeri/CA/Ajuntament] i els seus organismes d'acord amb el pla d'acció departamental per a la transformació digital i l'Estratègia TIC de l'Administració, així com la provisió de serveis en matèria de tecnologies de la informació i comunicacions que li correspon prestar com a unitat TIC del/de la [Ministeri/CA/Ajuntament].
-
L'impuls i la coordinació en l'àmbit del/de la [Ministeri/CA/Ajuntament] dels Esquemes Nacionals d'Interoperabilitat i Seguretat, i de les mesures per garantir l'accessibilitat dels serveis electrònics i el compliment de les seves obligacions, en matèria de reutilització de la informació del sector públic.
Així doncs, moltes vegades apareixen unitats transversals, amb condició d'encarregat de tractament en virtut d'atribució de competències1 que apareixen reflectides en una norma de caràcter reglamentari organitzatiu, com un reial decret (Administració General de l'Estat) o decret (comunitat autònoma) d'estructura, o fins i tot en una llei quan s'ha creat un organisme específic per a això.
És a dir, ens trobam amb un organisme o entitat que actua com a encarregat de tractament en l'àmbit de la seva respectiva Administració pública, atès que se li atribueixen funcions i competències que no incideixen en el poder decisori sobre la finalitat, el contingut i l'ús de les dades, sinó que fonamentalment versen sobre la implantació i la utilització dels sistemes d'informació perquè siguin utilitzats pels òrgans i organismes corresponents.
Aquest supòsit específic, quan l'encarregat de tractament està configurat en funció d'aquestes normes de caràcter reglamentari organitzatiu, o fins i tot legals, que en fixen les competències, suposa ja l'existència d'un contracte d'encàrrec de tractament, sense que per tant sigui necessari formalitzar contractes específics per a cada òrgan o organisme en els termes de l'art. 12.2 de la LOPD. En aquest sentit, la reforma de la LOPD avui en tramitació, si s'aprova, en l'apartat 5 de l'article 33 té en compte aquesta situació així:
«En l'àmbit del sector públic podran atribuir-se les competències pròpies d'un encarregat del tractament a un determinat òrgan de l'Administració General de l'Estat, l'Administració de les comunitats autònomes, les entitats que integren l'Administració local o els organismes que hi estan vinculats o que en depenen, adoptant una norma reguladora d'aquestes competències, que ha d'incorporar el contingut exigit per l'article 28.3 del Reglament (UE) 2016/679.»
D'altra banda, l'aplicació de l'RGPD no modifica les relacions entre responsable i encarregat o les qüestions que cal tenir en compte. El contingut mínim del contracte ha de contenir l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d'interessats, i les obligacions i drets del responsable.
1 Aquest supòsit específic ha estat analitzat per l'informe jurídic de l'AEPD següent: https://www.aepd.es/es/documento/2012-0333.pdf
Observau la incorrecció tècnica del legislador, ja que l'article 33 de la LOPDGDD exclou aquesta cessió.