LOPD y los servicios de soporte y mantenimiento


La Ley de Protección de datos de carácter personal (LOPD), y los servicios de soporte y mantenimiento en las aplicaciones informáticos y sistemas de información, cuando con dicha aplicaciones y sistemas se manejen datos de carácter personal, no son ajenos al cumplimiento de la LOPD. Mas aún, con el nuevo Reglamento que desarrolla la LOPD, que recoge nuevas exigencias y obligaciones en cuanto al manejo de los datos de carácter personal por parte de las empresas que presten estos servicios de soporte y mantenimiento a sus clientes.

En primer lugar debemos concretar que figura ostente, respecto a la LOPD, la empresa que presta los servicios de soporte y mantenimiento de las aplicaciones informáticas y los sistemas de información con datos de carácter personal, que puedan tener los clientes a los que dichas empresas prestan los servicios de soporte y mantenimiento. Para ello la LOPD define al responsable del fichero o responsable del tratamiento, la misma figura con dos denominaciones, que es quien decide sobre el uso, contenido y finalidad de los ficheros, o en su caso de los datos de carácter personal, que seria el cliente a quien se le presta por un tercero estos servicios de soporte y mantenimiento. Y por otro lado se encuentra el encargado del tratamiento que es la persona física o jurídica, publica o privada que trata los datos personales, es decir, los graba, copia, conserva, visualiza, etc., siendo responsable de estos datos personales el cliente que contrata los servicios de soporte y mantenimiento.

Ya que el tratamiento de datos de carácter personal se realiza por llevar a cabo alguna de estas acciones: recoger, grabar, conservar, elaborar, modificar, consultar, utilizar, cancelar, bloquear, suprimir y ceder; cualquier acción que lleve a cabo la empresa que presta los servicios de soporte y mantenimiento de las aplicaciones informáticas y sistemas de información, donde se contengan datos de carácter personal, difícilmente no será un tratamiento de datos de carácter personal, convirtiéndose por tanto dicha empresa en un encargado del tratamiento. Esto supone, que por el hecho de que los servicios de soporte o mantenimiento no conlleven el accede, literal, a los datos de carácter personal del cliente, no por ello no dejará de ser la empresa que presta el soporte y mantenimiento un encargado del tratamiento, dado que por los servicios que presta se podrán realizar otro tipo de acciones, de las enumeradas anteriormente, que sin ser un acceso a datos, si suponen un tratamiento de datos de carácter personal.

Esta condición de encargado del tratamiento de la empresa que presta los servicios de soporte y mantenimiento, debe formalizarse como tal, en un contrato suscrito por algún medio que deje constancia de su celebración, dado que si no se firma dicho contrato, el tratamiento de los datos llevado a cabo por la empresa que presta el soporte y mantenimiento, puede considerarse como una cesión de datos, que derive en una sanción al cliente responsable de los datos por cederlos, a la empresa que presta el soporte y mantenimiento, y una sanción por tratamiento sin consentimiento para esta empresa que recibe los datos del cliente.

En este contrato firmado entre el responsable del fichero y el encargado del tratamiento se debe indicar, entre otros, los fines para los que tratará los datos la empresa que presta el soporte y mantenimiento, las medidas de seguridad que el encargado del tratamiento implantará y el destino de los datos una vez terminada la prestación del servicio, si la devolución o la destrucción, que en la mayoría de los casos para los servicios de soporte y mantenimiento será la devolución.

Por otro lado, y dependiendo de cómo se realice el soporte y mantenimiento, se deberá indicar en el contrato que tipo de tratamientos se llevarán a cabo por la empresa que presta los servicios. Si será, el tratamiento de los datos de carácter personal, en las instalaciones del cliente, desplazándose el personal de la empresa que presta el soporte y mantenimiento a los locales del cliente; si también se llevará a cabo de forma remota, conectándose a los equipos del cliente el personal que presta el soporte y mantenimiento; y si en algún caso, se trasladarán equipos o soportes con información del cliente, a las dependencias y locales de la empresa que presta el servicio de soporte y mantenimiento. Formas de prestarse el servicio, que determinan que medidas de seguridad deben implantarse o exigir que se implanten, a la empresa que presta el soporte y mantenimiento. Dado que si únicamente se prestan los servicios en las dependencias del cliente, quizá no tendrá que elaborar un documento de seguridad, sometiéndose a las medidas que tenga implantadas el cliente. Si en cambio, se presta el servicio de forma remota, si deberá mantener la empresa que presta el soporte y mantenimiento un documento de seguridad, pero quizá, no con todas las medidas de seguridad que exige la normativa, según el nivel de seguridad a implantar. Dado que al no almacenar información en sus propios sistemas o equipos, sino solo acceder de forma remota, no tendrá, en su caso, que implantar medidas de seguridad como el control de acceso físico, copias de seguridad, salida y entrada de soportes, etc.

Si en cambio, el servicio de soporte y mantenimiento se lleve a cabo en los locales y dependencias del proveedor del servicio, si tendrá esta empresa que elaborar un documento de seguridad con todas las medidas de seguridad exigidas por la normativa en protección de datos, de acuerdo con el nivel de seguridad exigido y acordado en el contrato con el cliente.

Podría suceder también, que la empresa que presta los servicio de soporte y mantenimiento, no acceda ni trate datos de carácter personal responsabilidad del cliente, porque, en los sistemas o aplicaciones donde opera no hubiera datos de carácter personal. Si bien, y aunque en su cometido no estuviese acceder ni tratar estos datos de carácter personal responsabilidad del cliente, si podría tener acceso a estos datos de carácter personal, aunque como digo, no este dentro de su cometido ni labor, acceder ni tratar estos datos de carácter personal. Pues bien, en estos casos en los que los servicios de soporte y mantenimiento, no conlleven en si, el acceso o tratamiento de datos de carácter personal, pero teniendo las empresa que presta el soporte y mantenimiento, o su personal, la posibilidad de acceder a estos datos personales, el cliente, en este caso responsable de los datos de carácter personal, deberá establecer medidas para impedir que se acceda a los datos, y prohibir expresamente que la empresa que presta el soporte o mantenimiento no acceda a esta información o en su caso obligarle a que guarde el deber de secreto y confidencialidad por los datos de carácter personal que haya podido conocer a la hora de prestar los servicios.

Dependiendo de donde se encuentre la empresa que presta el servicio de soporte y mantenimiento, si estos se prestan de forma remota o en sus dependencias y locales, se puede producir una transferencia internacional de datos si dicha empresa se encuentra fuera de la unión europea. Circunstancia, que conlleva, por un lado, la necesidad de notificar la transferencia internacional de los datos en el Registro General de Protección de Datos, y por otro, dependiendo del país de destino de estos datos de carácter personal, solicitar la autorización del director de la Agencia Española de Protección de Datos para transferir estos datos, o recabar el consentimiento para poder transferir los datos. Recalcando que esta transferencia internacional de los datos no es una cesión de datos, al seguir llevándose a cabo los tratamientos para la prestación de un servicio por parte del encargado del tratamiento al responsable del fichero.

Si la entidad que presta los servicios de soporte y mantenimiento al cliente, accediendo y tratando los datos como un encargado del tratamiento, contrata los servicios de terceros, empresas o profesionales no dependientes de dicha entidad, para prestar parte de los servicios al cliente, estos terceros serán también encargados del tratamiento, fruto de la subcontratación de servicios. Debiendo regularse en el contrato que suscriba la entidad que presta el soporte y mantenimiento y el cliente, esta participación de los terceros, que accederán o tratarán los datos de carácter personal responsabilidad del cliente, dado que si no se regula esta subcontratación, se estará produciendo una cesión de datos por parte de la entidad que presta el soporte y mantenimiento.

Es importante por tanto, recoger en el contrato entre el responsable del fichero y el encargado del tratamiento, no solo lo exigido por la normativa de protección de datos, sino todos los aspectos del servicio de soporte y mantenimiento que afecten a los datos de carácter personal, para evitar al cliente o la empresa que presta los servicios de soporte y mantenimiento, posibles sanciones por el incumplimiento de la normativa en protección de datos de carácter personal.