Dado que es muy probable que una agencia trate datos personales por cuenta de sus clientes, es aconsejable tomar determinadas precauciones para limitar, en la medida de lo posible, que puedan producirse disputas.
Si la agencia es el responsable del tratamiento externo, deberá:
- firmar un contrato específico (denominado “Contrato de tratamiento de datos”, “Contrato en virtud del artículo 28 del Reglamento 679/2016” o “Nombramiento del encargado de procesar los datos” (aquí encontrará más información y un modelo para descargar) con cada responsable del tratamiento de datos (es decir, el cliente); y
- actuar de forma transparente y proactiva para demostrar que lo ha hecho todo correctamente en caso de auditorías.
¿Cuál es la diferencia entre el responsable del tratamiento y el encargado del tratamiento?
El término “responsable del tratamiento” significa cualquier persona física o jurídica que determine las finalidades y los medios del tratamiento de los datos personales de sus usuarios. Es quien determina “por qué” y “cómo” deben tratarse los datos personales recogidos, por lo general el titular del sitio o de la aplicación (en el presente caso, el cliente).
El término “encargado del tratamiento” significa cualquier persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento. Así sucede, por ejemplo, en el caso de una agencia que envía newsletters o campañas de marketing para sus clientes.
Deberes de la agencia
De conformidad con el RGPD, estas son las obligaciones del responsable del tratamiento (agencia) frente al encargado del tratamiento (cliente):
- La agencia solo está obligada a tratar los datos personales siguiendo las instrucciones documentadas del cliente. Esto significa que la agencia debe cumplir estrictamente las instrucciones de tratamiento del cliente, que se definen de forma general, en su mayoría, en el contrato de tratamiento de datos mencionado anteriormente. Las instrucciones del cliente abarcarán todo el ciclo de tratamiento de datos, es decir, desde la recogida a la finalización del tratamiento. En consecuencia, una vez que hayan finalizado los servicios de tratamiento, la agencia deberá cancelar o devolver los datos personales al cliente, dependiendo de las instrucciones dadas por el cliente (esto es, el responsable del tratamiento).
- Los datos personales deberán tratarse con la máxima confidencialidad: para garantizar esto, la agencia deberá asegurarse de que el tratamiento se realice únicamente por personal autorizado que esté sometido (incluso por ley) a una obligación de confidencialidad. Las instrucciones escritas de tratamiento cumplen, normalmente, esta obligación para los empleados. Estas instrucciones contienen cláusulas sobre cómo tratar los datos y reglas sobre privacidad durante las operaciones de tratamiento.
- A continuación, la agencia deberá asegurarse de que se adopten todas las medidas de seguridad exigidas y no podrá recurrir a los servicios de una tercera parte externa (p.ej. como un subencargado del tratamiento) sin la autorización previa y por escrito del cliente.
- Las obligaciones de asistencia y cooperación de la agencia son fundamentales. Mediante la adopción de medidas técnicas y organizativas adecuadas, la agencia debe ayudar al cliente a responder a las solicitudes de los usuarios para ejercitar sus derechos. Supongamos, por ejemplo, que un usuario solicita la rectificación de su dirección de correo electrónico en una base de datos utilizada para enviar Direct Email Marketing (Marketing Directo por Email o MDE). Si la agencia encargada del mantenimiento de la base de datos correspondiente y el envío de dichos correos electrónicos recibe la solicitud de la persona afectada, debe informar inmediatamente al cliente (es decir, el responsable del tratamiento) y actuar de conformidad con las instrucciones recibidas.
- La agencia deberá asistir al cliente en el cumplimiento de todas las obligaciones derivadas de situaciones como una violación de la seguridad de los datos personales, durante cualquier consulta previa a la autoridad de control o en caso de que sea necesario realizar una Evaluación de Impacto relativa a la Protección de Datos.Protection Impact Assessment become necessary.
- La agencia deberá poner a la disposición del cliente toda la información que esté en su posesión que sea necesaria para demostrar que el cliente ha cumplido sus obligaciones legales. Al actuar de este modo, no deberá obstaculizar ninguna actividad de revisión (incluidas las inspecciones) llevada a cabo directamente por el cliente o por cualquier otra persona designada por el cliente.
Exención de responsabilidad y software de iubenda
Debe destacarse que la exención de responsabilidad exime a la agencia de las responsabilidades inherentes a la “corrección” de los productos de iubenda, no de toda responsabilidad.
Por ejemplo, si la agencia añade la cláusula de Google Analytics a la Política de privacidad y de Cookies y el enlace a la política de privacidad del proveedor es incorrecto, es responsabilidad de iubenda. Sin embargo, si la agencia añade Google Analytics, pero la página web utilizar un servicio diferente, la responsabilidad recae en la agencia, salvo que esta demuestre está exenta (por ejemplo, si el cliente ha aprobado los documentos o ha solicitado expresamente la inclusión de tal cláusula).
Deberes del cliente y de la agencia en caso de ocasionar daños y perjuicios a los usuarios
El artículo 82 del RGPD es la norma clave sobre responsabilidad civil en el tratamiento de datos personales y el consiguiente derecho a indemnización, y especifica que:
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
Aunque el responsable del tratamiento (cliente) es responsable de los daños y perjuicios ocasionados por el tratamiento que infrinja el RGPD, el encargado del tratamiento (agencia) únicamente será responsable de los daños y perjuicios causados por el tratamiento si:
- ha incumplido sus obligaciones en virtud del RGPD, o
- ha actuado de forma inconsistente con las instrucciones (legítimas) del cliente o de forma contraria a estas.
La agencia podrá incurrir en responsabilidad en casos en los que:
- incumpla las instrucciones del cliente (incluso cuando exceda los límites de su competencia, en cuyo caso el RGPD establece que deberá asumir la responsabilidad como un responsable del tratamiento independiente);
- no proporcione asistencia al cliente (p.ej. en caso de violaciones de la seguridad de los datos personales o evaluaciones de impacto);
- no ponga a la disposición del cliente la información necesaria que esté en su posesión;
- no informe al cliente de que una instrucción del cliente infringe la ley;
- cuando esté obligado a ello, no nombre a un DPD (Delegado de Protección de Datos);
- nombre a un subencargado del tratamiento que no haya sido previamente autorizado;
- nombre a un subencargado del tratamiento que no ofrezca suficientes garantías;
- no mantenga un registro de las operaciones de tratamiento.
Las condiciones de exención de responsabilidad
El cliente o la agencia solo podrán quedar exentos de responsabilidad si pueden acreditar que los daños y perjuicios no les son imputables en modo alguno (p.ej. si se derivan de un tratamiento de datos no realizado por ellos).
Responsabilidad solidaria
Si los daños y perjuicios son imputables a más responsables del tratamiento o encargados del tratamiento (o a ambos), cada uno de ellos será responsable solidario por el monto resultante del incidente.
En este caso, el responsable que haya abonado íntegramente (in solidum) la indemnización por daños y perjuicios podrá repercutir la compensación atribuible a cada cuota de responsabilidad del resto de titulares o partes responsables involucradas.
Más información