Día a día podemos comprobar con más frecuencia, que en el trabajo diario de una agencia o de un profesional freelance se presenta la necesidad de aprender a gestionar datos de carácter personal de clientes.
Las herramientas con las que actualmente contamos, y que nos permiten por ejemplo hacer una segmentación cada vez más certera de los usuarios, convierten en muy atractivas aquellas acciones que, de una u otra forma, involucran la creación o acceso a bases de datos personales.
El problema que surge ante esta realidad, es que muchas veces no se sabe cómo reaccionar y en definitiva cómo tratar esa cantidad de información que, por cierto, está protegida y amparada en nuestro sistema por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (en adelante, LOPD).
Es por este motivo que en este artículo vamos a tratar una situación muy común en agencias y profesionales autónomos: el acceso a bases de datos de carácter personal de clientes.
Bases de Datos de Carácter Personal de Clientes. 4 Recomendaciones para gestionarlas. Tabla de contenidos
BASES DE DATOS DE CARACTER PERSONAL DE CLIENTES
Para comenzar, recordemos una diferencia importante: tal como ya comentamos en el artículo ¿Qué es la LOPD? 5 claves para entender la Ley de Protección de Datos, las agencias normalmente acceden a ficheros de datos de carácter personal de dos tipos:
- Datos propios: se refiere a los ficheros de datos personales respecto de los cuales se es titular. Como ejemplo, tenemos los datos personales de los empleados, clientes o los obtenidos a través de un registro web al blog de la agencia, etc. Estos datos conforman los ficheros respecto de los cuales se actúa en calidad de responsable.
- Datos personales pertenecientes a clientes. No hablo en este caso de los datos personales de un cliente o de sus representantes legales, sino que de las bases de datos de carácter personal que éste ha recabado a través del tiempo, con motivo de diversas acciones. Suelen ser por lo tanto datos personales de sus propios clientes o potenciales clientes. Un ejemplo sería la base de datos que ha obtenido a raíz de una promoción.
Como se señaló en ese artículo, no hay que confundir los datos propios con los datos de clientes, porque las obligaciones que impone la LOPD son diferentes según el tipo de datos del que estemos hablando.
Como indicaba anteriormente, en esta oportunidad, trataremos el segundo caso, es decir, aquellas ocasiones en las que accedemos a bases de datos de carácter personal de clientes y que les pertenecen en propiedad.
Muy a menudo, las agencias reciben de su cliente el encargo de prestar determinados servicios, los cuales involucran el acceso a bases de datos de carácter personal.
Algunos ejemplos son:
1.- Que el cliente encargue el envío de email marketing (respecto de la base de datos que va a proporcionar para ser impactada);
2.- La organización de un sorteo (datos personales de los participantes);
3.- La solicitud de enriquecimiento de una base de datos (base de datos que proporciona para ser enriquecida), o
4.- Que el cliente requiera que se incorporen nuevas formas de captación de datos, a través de diversas acciones (datos personales obtenidos por ejemplo a través de un nuevo formulario de registro).
Lo primero en lo que quiero que centres tu atención es en el motivo por el cual un cliente te otorga acceso a una base de datos de carácter personal de su propiedad. Más allá de los ejemplos puntuales, lo cierto es que te podrás dar cuenta de que en todos ellos hay un punto en común: sea cual sea el servicio que debes prestar y la forma en la que accedes a los datos, en todos estos casos, se está cumpliendo con una finalidad marcada por el cliente. Es decir, debes hacer con los datos lo que el cliente te indica, y según sus instrucciones, ni más ni menos.
La LOPD regula la relación jurídica que se produce entre el titular de la base de datos y el tercero que, a propósito de un servicio determinado, accede a ficheros de datos personales. Cuando accedes de esta forma a bases de datos de carácter personal de clientes, entonces eres un “Encargado del Tratamiento”.
En segundo lugar, continuando con los ejemplos, verás que el concepto de acceso a una base de datos es amplio, ya que no sólo considera los casos en los que efectivamente el cliente nos proporciona una base de datos, sino también aquéllos en los que solicita se creen nuevos ficheros (por ejemplo, la base de datos que surge a raíz de la participación en un concurso que se te encargó organizar), ya que aun cuando directamente ese cliente no haya entrado en contacto con el contenido de los mismos, es su titular, y le corresponden en propiedad.
Tomando como ejemplo el encargo para la realización de email marketing, la figura que se produce en estos casos es la siguiente:
Si estás en la situación descrita y, en definitiva, como agencia o profesional autónomo, has recibido el encargo de ejecutar determinado servicio que involucra el acceso a bases de datos de carácter personal de clientes, entonces pon atención a las siguientes recomendaciones que te ayudarán a cumplir tu cometido de forma correcta y conforme a la ley:
1 DEBES IDENTIFICARTE COMO UN “ENCARGADO DEL TRATAMIENTO”
Insisto en la idea mencionada anteriormente. Siempre que recibas bases de datos de carácter personal de clientes con el objeto de prestar un servicio determinado, entonces inmediatamente debes identificarte como un “Encargado del Tratamiento”.
El artículo 12 de la LOPD dice lo siguiente:
«Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.»
Cuando la ley nos habla de que esta figura “no es una comunicación de datos”, se refiere a la situación en que un tercero accede a un fichero que no es de su propiedad, para cumplir sus propias finalidades, y no las que marque el titular de la base de datos. De las comunicaciones o cesiones de datos hablaremos en un próximo artículo.
Lo que ahora interesa es comprender la dinámica jurídica que surge en el caso que estamos describiendo, ya que como se señaló al principio, en el momento en el que te conviertes en un encargado del tratamiento, hay que cumplir con varias obligaciones especiales que veremos a continuación.
2 ES IMPRESCINDIBLE LA FIRMA DE UN “CONTRATO DE TRATAMIENTO DE DATOS”
El citado artículo 12 de la LOPD, impone la obligación de suscribir un contrato en el que las partes son el titular o propietario de la base de datos y el encargado del tratamiento.
Esta obligación nace porque es la misma ley la que identifica el riesgo que surge cuando una base de datos de carácter personal pasa a manos de un tercero, sin que los usuarios sepan quién va a gestionar esos datos y para qué. En definitiva, todo trata sobre cómo proteger al máximo los datos personales de los usuarios que componen ese fichero o base de datos.
Como es evidente, a quien corresponde en primer lugar instar a la firma de este acuerdo es al propietario del fichero (tu cliente), quien debe salvaguardar los datos personales de sus usuarios. No obstante lo anterior, como encargado del tratamiento, tú estás obligado a cumplir con el deber de diligencia y, por lo tanto, si el cliente nada ha dicho sobre este punto, esto no significa que estés eximido de la firma de ese acuerdo; es más, debes exigir la suscripción del documento, ya que desde el momento en el accedes a esa base de datos, eres responsable de la misma en tu calidad de encargado del tratamiento.
La recomendación en estos casos es, por lo tanto, tener siempre un actitud activa y proclive al cumplimiento de la LOPD y adelantarte, si es posible, proporcionando tu propio contrato de tratamiento de datos personales.
3 DEBES CUMPLIR CON LAS OBLIGACIONES QUE SE IMPONEN PARA EL ENCARGADO DEL TRATAMIENTO
Las obligaciones básicas que debe cumplir un encargado del tratamiento y que deben quedar contempladas en el contrato de tratamiento de datos son:
Como encargado, debe ceñirse expresamente a las instrucciones del cliente al momento de gestionar la base de datos. Aquí no hay lugar a la improvisación o a iniciativas personales. La LOPD no permite que los datos se destinen a otras finalidades, por lo que debe hacerse con la base de datos, lo que el cliente indique. De ahí la importancia de pactar no sólo el tratamiento de datos, sino que también el servicio que se va a prestar, con todas sus condiciones y detalles, ya que es la única forma de saber exactamente qué se puede o no se puede hacer con el fichero.
El encargado debe cumplir con las medidas de seguridad que deban aplicarse a los datos personales. Las medidas de seguridad para el debido resguardo de los datos son muy importantes y dependen del tipo de dato que se gestione. No es lo mismo acceder a datos como el nombre o domicilio de una persona, que acceder por ejemplo a sus datos de salud.
La base de datos a la que el cliente te proporciona acceso no pueden ser comunicadas a otras personas, ni aún para los solos efectos de conservación.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a su titular, es decir, a tu cliente.
En todo tratamiento de datos, debe imperar el deber de secreto profesional.
Como digo, estas son las obligaciones fundamentales. No obstante, un buen contrato de tratamiento de datos, debe cubrir no sólo los mínimos, sino que adaptarse al tipo de servicio encargado, elaborándolo a la medida de las necesidades de las partes. Por ello, cuidado con copiar y pegar cláusulas o descargarse contratos de Internet.
4 ATENCIÓN CON LOS PROVEEDORES SUBCONTRATADOS
En el caso que venimos comentando, es decir, cuando se adquiere la calidad de Encargado del Tratamiento, es muy habitual subcontratar los servicios de un tercero que desarrolle el servicio requerido por el cliente, sea de forma íntegra o parcial.
Cuando surja la necesidad de subcontratar a un proveedor, debemos prestar atención a si ese proveedor accede también a la base de datos a la que nos dio acceso el cliente, ya que, si es así, entonces, hay que cumplir con una serie de obligaciones adicionales.
Ejemplo: normalmente en el email marketing, las agencias o profesionales suelen contratar a un tercer proveedor con el objeto de que realice los envíos. La figura sería, por lo tanto, la siguiente:
Si nos encontramos en esta situación, las obligaciones y recomendaciones al momento de relacionarnos con ese subcontratado son las siguientes:
1.- Escoge siempre proveedores serios y de confianza que cumplan efectivamente con las normas impuestas por la LOPD. Es responsabilidad del encargado del tratamiento exigir al subcontratado que garantice el cumplimiento de las normas en materia de protección de datos. De esta forma, el subcontratado debe garantizar que tiene sus ficheros dados de alta ante la Agencia Española de Protección de Datos, que tiene un documento de seguridad actualizado, etc.
2.- Antes de la subcontratación, debes notificar a tu cliente la intención de contratar a dicho proveedor, identificándolo de forma completa e indicando específicamente cuál es el servicio que va a prestar y por qué accederá a su base de datos. ¿La razón? El cliente es el titular y responsable de esa base de datos, y por lo tanto debe aprobar esa subcontratación.
3.- Aprobada la subcontratación, es imprescindible que se firme un contrato de encargado del tratamiento.
¿Quiénes son las partes de este nuevo contrato? Son por un lado el original encargado del tratamiento (es decir tú mismo) y ese tercero subcontratado. Ese contrato debe cumplir como mínimo, con las mismas exigencias que el cliente te ha exigido a ti a través del contrato firmado previamente con él.
Hasta aquí el artículo de hoy. Como podrás apreciar, cuando se adquiere la calidad de Encargado del Tratamiento, lo que en el fondo se produce es una cadena de intervinientes que, de una forma u otra, accede a una base de datos de carácter personal de clientes.
Es prioritario para la ley que esa cadena se encuentre correctamente regulada, ya que detrás de todo fichero o base de datos, hay datos personales de personas físicas, nunca hay que olvidarlo. Por ello, es importante ser riguroso y enfrentar este tema con la máxima seriedad posible.
Espero que estos consejos te sean de ayuda.
Te invito a leer mi artículo sobre el nuevo Reglamento de Protección de Datos que será de obligado cumplimiento a partir del 25 de mayo de 2018:
¡Nos vemos en la próxima publicación!
Bases de Datos de Carácter Personal de Clientes. 4 Recomendaciones para gestionarlas
