Derecho Digital Uruguayo Newsletter

El Contador Público como Encargado del tratamiento de datos personales

Dr. Fernando Vargas Coytinho [*]

I) Introducción Con la sanción de la Ley Nº 18.331 de 11 de agosto de 2008, publicada el día 18 del mismo mes y año en el Diario Oficial, se estableció un nuevo régimen jurídico en Uruguay que regula todo lo atinente a la Protección de Datos Personales (PDP) y Acción de Habeas Data. Esta norma madre se vio complementada con una serie de Decretos que la reglamentaron, entre los cuales cabe mencionar el Decreto Nº 664/008, de 22 de diciembre de 2008, que creó el Registro de Bases de Datos Personales a cargo del órgano desconcentrado de la Agencia para el Desarrollo del

Gobierno de Gestión Electrónica y la Sociedad de la

Información y del Conocimiento (AGESIC), Unidad Reguladora y de Control de Datos Personales (URCDP); el Decreto Nº 414/009, de 31 de agosto de 2009, reglamentario de la Ley; el Decreto Nº 437/009, de 28 de setiembre de 2009 sobre determinadas bases de datos que pertenecen al Banco Central del Uruguay y son consideradas como creadas y reguladas por leyes especiales y Decreto Nº 452/009, de 28 de setiembre de 2009 sobre Política de Seguridad de la Información para Organismos de la Administración Pública. “El espíritu de la ley, y la ley misma de reciente creación, establece como uno de los factores inherentes a la protección de los derechos humanos la protección de los datos personales correspondientes a los individuos. Tanto es así que por extensión también se aplica a las personas jurídicas. … Es

sabido por todos que el conocimiento de la información es una herramienta de poder … y que con la preeminencia y la valoración de los derechos humanos, adquiere un valor trascendente el derecho a la información de los datos contenidos respecto al propio sujeto. En definitiva, se trata de la protección

del

individuo

y

del

Estado

Republicano

de

Derecho.

Indudablemente con la aprobación de esta novel legislación se deja atrás los tiempos de oscurantismo, de secreto, e indudablemente de faltas de garantías fundamentales para el individuo. No es nada más ni nada menos que el ser humano sujeto de derecho al que le asiste la razón para poder conocer, requerir, rectificar, suprimir, todo dato sobre su persona que implique un detrimento a los derechos fundamentales garantidos por la Constitución de la República.” (1) Analizando los aspectos positivos del nuevo ordenamiento jurídico, pueden destacarse fundamentalmente dos de ellos. En primer lugar, la consagración en la legislación patria de un sistema orgánico de protección de datos personales, más concreto y específico aún que el Derecho a la Intimidad de los individuos, en concordancia con los países más avanzados a nivel mundial, permite contrarrestar la cada vez mayor intromisión en la esfera íntima de los individuos que se ha generalizado mediante el uso de la tecnología, combinando la informática con las telecomunicaciones. La Ley, en su artículo primero, establece que “la protección de datos personales es inherente a la persona humana”, dotando a esta protección del máximo rango constitucional. “Es que el derecho a la intimidad es un derecho humano fundamental en el campo de la libertad de cada individuo y éste debe ser cada vez más protegido frente al incontenible avance de la tecnología.” (2) En segundo término, además de estos beneficios a favor de los individuos que venimos de mencionar, la normativa sancionada traerá de la mano una serie de ventajas comerciales para las empresas nacionales. El nuevo régimen pone al país en condiciones de ser considerado a nivel internacional como un país “con niveles de protección adecuados de acuerdo

a los estándares del Derecho Internacional”. Y esto no es menor, ya que con ello se abrirán mercados para las empresas que hasta ahora se veían imposibilitadas de ser contratadas por otras organizaciones pertenecientes a países europeos o norteamericanos, debido a sus niveles de exigencias y de protección. El proyecto de ley, en su exposición de motivos, expresa que “… sin entrar a valorar los aspectos relativos a la defensa de los derechos humanos, desde el punto de vista estrictamente económico, ser un país con nivel de protección de datos personales no adecuado, constituye una potencial barrera no arancelaria para el acceso a mercados y para la captación de inversiones, particularmente aquellos pertenecientes a la Unión Europea. La adecuación permitirá la captación de inversiones en el sector tecnológico y de servicios provenientes de países que exigen el nivel de protección de datos personales explicitados.” (3) Por último en cuanto a estos aspectos positivos y dentro de los beneficios para las empresas, debe tenerse en cuenta que sin duda alguna constituye

una

excelente

oportunidad

para

que

las

organizaciones

-

independientemente de su tamaño- regularicen los cuidados sobre el tratamiento y conservación de los datos personales que tienen bajo su custodia, ya sean de clientes, proveedores, terceros o empleados. Si bien este trabajo -como su título lo indica- se centrará en la figura del Contador Público como Encargado del tratamiento de datos según el nuevo ordenamiento, categoría ésta que traerá aparejado seguramente una serie de consecuencias prácticas y jurídicas para la mayoría de los profesionales que manejan datos por cuenta de otros, resulta conveniente analizar sucintamente, a modo de presentación, los aspectos generales de la normativa; sus alcances; los derechos y principios que se consagran; así como los distintos tipos de datos que clasifica. Esta breve introducción general servirá de base para ayudar al lector a comprender el alcance de ciertos conceptos que se manejarán posteriormente en el desarrollo del trabajo. Cabe precisar también que este trabajo forma parte de uno mayor,

titulado "El Encargado del tratamiento de datos personales en la Ley No. 18.331" (de próxima edición), el cual abarcará a los demás actores que se ven comprendidos en esta figura (empresas informáticas, call center, administradores de edificios, gestorías, empresas de seguridad, etc.), analizándose los distintos aspectos involucrados. II) Principales características del nuevo régimen Dentro de las características más destacables de la normativa vigente, podemos mencionar las siguientes: * Se considera a la protección de datos dentro de los derechos protegidos por nuestra Carta máxima como un derecho humano. * Comprende los datos personales de personas físicas y jurídicas, públicas o privadas. * Establece una serie de Principios, entre los cuales cabe destacar los de Legalidad; Veracidad; Finalidad; Consentimiento informado; Seguridad de los Datos; Reserva y Responsabilidad. A partir de estos Principios surgen obligaciones legales y de seguridad para las empresas. * Una especial relevancia se le otorga al Consentimiento que debe prestar el titular de los datos para la recolección y tratamiento de los mismos, requiriéndose para que sea lícito el tratamiento de los datos personales que “el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse.” (art. 9 de la Ley), y en caso de tratarse de datos sensibles, el consentimiento debe ser “expreso y escrito del titular.” (art. 18). La propia norma establece a texto expreso las excepciones a estas condicionantes. * También consagra varios Derechos de los titulares de los datos, tales

como

el

de

Información;

Acceso;

Rectificación

o

Supresión;

Comunicación de Datos, que conlleva la obligación de las empresas de poder responder en tiempo y forma frente al ejercicio de dichos derechos. *

Se

crea

una

categoría

de

Datos

Especialmente

Protegidos,

incluyéndose en la misma los Sensibles (origen racial, creencias religiosas, morales, políticas, sindicales, sexuales, etc.); los relativos a la Salud; a las Telecomunicaciones; con fines de Publicidad; actividad Comercial o Crediticia y los Transferidos Internacionalmente. Todas las bases con datos personales que sean propiedad de una persona jurídica, pública o privada, deberán registrarse ante el Registro de Bases de Datos dependiente del Órgano Regulador creado por la Ley, denominado Unidad Reguladora y de Control de Datos Personales (URCDP), el cual funciona en la órbita de AGESIC. Las personas físicas también deberán registrar todas las bases de datos que contengan datos personales, excepto las que usen exclusivamente con fines personales o domésticos. Dentro de los cometidos asignados a este nuevo Órgano Regulador, se encuentra el asesoramiento a particulares, empresas y al Poder Ejecutivo, así como el control de la observancia de la normativa. Se le dotó de potestades sancionatorias, pudiendo aplicar a los responsables de las bases o a quienes traten datos por cuenta de estos, severas sanciones que van desde el Apercibimiento hasta la Suspensión de la base por un lapso de hasta 6 días, pasando por importantes Multas que pueden llegar hasta casi U$S 50.000.Por último, la norma legal consagra a texto expreso la Acción de Habeas Data, acción judicial que permite al titular de los datos, de una manera sumarísima, conocer el contenido de la base, su finalidad y uso, así como proceder a su rectificación o supresión cuando la empresa no haya cumplido con su obligación de entregarlos en tiempo y forma ante su petición. El Decreto reglamentario otorgó un plazo máximo de 90 días a partir de su publicación para registrar las bases de datos existentes, el cual finalizó el pasado 14 de diciembre a pesar de que las autoridades de AGESIC prorrogaron -de hecho- el plazo hasta el mes de febrero de 2010. Las bases que se creen con posterioridad, contarán con un plazo idéntico de 90 días, el que correrá desde el inicio de las actividades. El

Responsable

de

la

base

deberá

mantener

actualizada

la

registración, comunicando trimestralmente al Registro cualquier tipo de

novedad trascendente que se produzca. Se entiende por tal, el hecho de dotar de nueva estructura a la base, agregando o quitándole campos; el aumento o disminución significativo de los datos contenidos en la misma (según el actual criterio de AGESIC, esto se producirá en el caso de que exista una modificación igual o superior al 20% de los datos); variación en la forma de recabar el consentimiento; etc. III) El “Encargado del tratamiento de datos” Como sostuvimos en un trabajo anterior que realizamos sobre una temática similar a la que constituye el objeto de éste (4), “la Ley define qué se entiende por “Bases de datos”; “dato personal”; “dato sensible” y prevé la existencia de varios sujetos involucrados en el manejo o tratamiento de los mismos. Así, surge la figura del “Responsable de la base de datos o del tratamiento”; del “Titular de los datos”; del “Tercero”; del “Usuario de datos”; del “Destinatario” y del “Encargado del tratamiento”. Cada una de estas figuras cuenta con definición concreta y regulación específica.” A los efectos de este trabajo, conviene tener presente la definición que la norma, en los distintos literales de su artículo 4º, brinda respecto a tres sujetos involucrados en el tratamiento de los datos, según veremos a continuación. TITULAR DE LOS DATOS: “persona cuyos datos sean objeto de un tratamiento incluido dentro del ámbito de acción de la presente ley.” (lit. L) RESPONSABLE DE LA BASE DE DATOS O DEL TRATAMIENTO: “persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.” (lit. K) ENCARGADO DEL TRATAMIENTO: “persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.” (lit. H) En un sentido amplio podemos afirmar que el art. 4, literal H de la Ley, entiende por “Encargado del tratamiento” a quienes traten datos

personales por cuenta del Responsable de la base de datos. Ahora bien, qué se entiende por “tratar datos” en el concepto normativo? El propio art. 4, en su literal M, se encarga de aclararlo; “Tratamiento de datos: operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales,

así

como

también

su

cesión

a

terceros

a

través

de

comunicaciones, consultas, interconexiones o transferencias.” Por tanto, en una primera gran aproximación, podemos decir que si el Responsable de la base de datos (entendido éste como el dueño de la base) contrata a una persona o a una empresa para realizar cualquier tipo de servicio que implique el manejo de esos datos por parte del contratante (por ej. contabilidad de la empresa; acciones de marketing directo a clientes; servicios de call center; procesamiento informatizado de datos; hospedaje web o de bases de datos en servidores de terceros; administración de edificios; seguridad y vigilancia en edificios; etc.), se estará bajo el ámbito de aplicación de la Ley en cuanto a la figura del Encargado del tratamiento de datos. A partir de esta definición y del relacionamiento de esta figura con las otras que mencionamos, así como del resto de la regulación que la norma prevé, se extraen una serie de consecuencias jurídicas y prácticas que trataremos de examinar a continuación. a) El Responsable de la base y el Encargado del tratamiento.La diferencia entre ambos es clara. Se entiende por “Responsable de la base de datos o del tratamiento” a la “persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.” O sea, el Responsable de la base es el dueño de la base, el que en tal calidad dispone sobre la suerte de la misma y puede contratar determinados servicios para que otra persona física o jurídica, trate esos datos. Mientras tanto, el “Encargado del tratamiento” como vimos, es la “persona física o jurídica, pública o privada, que sola o en conjunto con otros

trate datos personales por cuenta del responsable de la base de datos o del tratamiento.” Es

una

tercera

entidad

(persona,

empresa

o

profesional

independiente) a la cual se le contrata un servicio determinado y en tal condición deberá tratar datos por cuenta del Responsable de la base de datos. Ha entendido a este respecto la Agencia Española de Protección de Datos que “para determinar si nos encontramos en presencia de un encargado del tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Será preciso que corresponda al responsable el poder de decisión sobre la finalidad que justifica el tratamiento … la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los fichero generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero.” (5) El relacionamiento jurídico que se establecerá entre ambos será de orden contractual y se regirá por el derecho comercial o civil, según corresponda. Normalmente, consistirá en un contrato de arrendamiento de servicios (aunque pueda ser de obra en determinadas circunstancias) que tendrá por objeto principal que el comitente encargue a un tercero la prestación de un servicio o la realización de una obra, y en esa condición podrá tratar los datos que contengan las bases propiedad del comitente. No quedan comprendidos en el alcance de esta figura los empleados o funcionarios dependientes del Responsable de la base de datos, los cuales se regirán

por

el

derecho

laboral

o

administrativo

(según

se

trate

de

trabajadores privados o públicos), según analizaremos con mayor profundidad más adelante. De esta forma, quedan claramente diferenciadas ambas figuras, las cuales tienen en la normativa una regulación particular en cuanto a sus

responsabilidades. Sin embargo, muchas veces existe confusión entre ambos sujetos ya que la empresa contratada como Encargado del tratamiento es quien en los hechos incorpora o elimina de la base los datos pertenecientes a los titulares. Ante un caso similar y con una normativa bastante parecida, la Agencia Española de Protección de Datos aclaró esta situación, la cual pensamos que es de estricta aplicación a nuestro derecho positivo. “Se han recibido reiteradas consultas referidas al supuesto específico en que las actividades de una determinada empresa que implican un tratamiento

automatizado

de

datos

de

carácter

personal

(nóminas,

contabilidad, etc.) son efectuadas por una entidad asesora, sin que por la empresa se realice un tratamiento efectivo de dichos datos. En particular, se ha planteado a quién corresponderá el cumplimiento de las obligaciones reguladas por la LOPD. De lo establecido en la mencionada Ley debe señalarse que las obligaciones que la misma impone, en particular la de proceder a la notificación del fichero a la Agencia Española de Protección de Datos, habrán de cumplirse por parte de quien ostente la condición de responsable del fichero … Por tanto, la solución a la cuestión planteada deberá basarse en el hecho de si la empresa por cuya cuenta se procede al tratamiento de los datos decide sobre la finalidad y el modo en que se procederá a dicho tratamiento, con independencia de que por la misma se efectúen las operaciones que supongan la incorporación de los datos al fichero. En concreto, en el caso en que la empresa facilite los datos a la gestoría precisamente con la finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos, por lo que será la cliente quien decida sobre la finalidad y uso de la información, aquella tendrá la condición de responsable del fichero y deberá notificar su existencia al Registro General de Protección de Datos.” (6) b) Algunos ejemplos de Encargados del tratamiento.- De lo que viene de decirse en el literal anterior, surgen claramente identificadas varias

figuras que normalmente cumplen tareas como Encargados del tratamiento de datos personales. Conviene tener presente que si bien estas personas u organizaciones empresariales cumplen actividades propias como Encargados del tratamiento, también tendrán la condición de Responsables de sus propias bases de datos. En efecto, el hecho de que traten por cuenta de terceros datos personales, no los inhibe de su calidad de dueños de sus propias bases de datos y de cumplir con las obligaciones que de la misma se deriven. Al igual que el dios romano Jano, tendrán dos caras, la de Responsables de sus propias bases de datos, las que pertenecen a su organización (las de sus clientes, sus proveedores, sus empleados, etc.) y la de Encargados del tratamiento de las bases de datos que sus clientes les faciliten para que les presten un servicio determinado. IV) Contadores Públicos y Estudios Contables Los Contadores Públicos, ya sea actuando en forma individual en el ejercicio independiente de su profesión o prestando los servicios a través de un

Estudio

Contable

organizado

como

persona

jurídica,

son

típicos

Encargados del tratamiento. En efecto, en el ejercicio de su tarea, los Contadores (de aquí en más entiéndase por tal a Contadores Públicos y Estudios Contables) requieren que sus clientes les proporcionen sus bases de datos –con datos personales que pertenecen a los empleados, proveedores o clientes de aquellos- para que cumplan su tarea. Así la nómina del personal dependiente del cliente es remitida mensualmente para que los Contadores realicen la liquidación de sueldos, de aportes y las comunicaciones a los organismos públicos correspondientes (MTSS, BPS, DISSE, BSE, etc.). Esta nómina contiene un sinnúmero de datos personales y no sólo de los dependientes del cliente sino también de familiares de aquello, ya que se requiere que se informe si los empleados son solteros o casados y si tienen hijos menores para realizar los aportes correspondientes. Lo mismo es aplicable a los proveedores y clientes, pues la facturación de compra y de venta del cliente del Contador, incluye datos personales de personas físicas o jurídicas que se relacionaron en cierto

lapso con éste y cuyos detalles surgen de la propia facturación (nombre, dirección, RUT, teléfono, etc.) El Contador podrá realizar correctamente la tarea para la cual es contratado si recibe toda esa información. Pero la base de datos que se le proporciona no es propia, el Responsable de la base será siempre su cliente y no él. El Contador actuará como Encargado del tratamiento ya que va a tratar esos datos “por cuenta de su comitente”, como exige la ley. Un análisis particular nos lleva a examinar si las facturas que el Contador recibe de sus clientes (de compra y de venta) para liquidar los impuestos, por ej., constituyen en sí mismas bases de datos con datos personales. Obviamente que la información que recibe en soporte magnético u óptico (con la nómina del personal, por ejemplo) no presenta duda alguna en cuanto a su consideración como base de datos. Pero podría sí plantearse legítimamente si las boletas de facturas de sus clientes o el conjunto de facturas de compras de los mismos, son o no bases de datos en el concepto de la normativa. En este sentido, la Ley es muy clara y abarcativa, son bases de datos cualquier “conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso” (art. 4, lit. A). En consecuencia, entendemos que esta definición es de plena aplicación a las facturas referidas, razón por la cual las mismas deberían considerarse bases de datos con datos personales, tanto de personas físicas como jurídicas. Sin embargo, no consideramos bases de datos (y en consecuencia no deberán inscribirse), los estados contables de los clientes. Un aspecto importante a tener en cuenta es que una misma base de datos podrá encontrarse en distintos soportes. Así consideramos que los datos personales que un Contador pueda tener de sus clientes, podrán estar incorporados en el programa informático de facturación y en las facturas en papel -por ejemplo- pero no son dos bases distintas, sino que es la misma base en diferentes soportes. Lo mismo ocurre con la agenda telefónica, la

cual podrá estar en un archivo informatizado (planilla excel), impresa en papel e incorporada a los distintos celulares que pertenecen a la empresa. En todos estos casos existe una sola base de datos en más de un soporte. Veremos también mas adelante al tratar la situación de las empresas de informática, que los programas de computación en sí mismos no son bases de datos. En caso de que el Contador utilice esos programas, deberá definir si los datos que se incorporan al mismo son propios o pertenecen a sus clientes, y en ese caso actuará como Responsable de la base o como Encargado del tratamiento, con las obligaciones que en cada caso se derivan de esas calidades. En consecuencia, los Contadores Públicos serán Responsables de sus propias bases de datos, o sea, las que decidan crear y utilizar en provecho propio. Por ejemplo las bases de datos que contengan los datos personales de sus empleados, de sus clientes y de sus proveedores, entran en esta categoría. Serán además Encargados del tratamiento de las bases de datos que les proporcionen sus clientes para tratar por cuenta de ellos. V) Contrato de arrendamiento de servicios No existe en la Ley ninguna obligación que establezca la exigencia de la celebración de un contrato de arrendamiento de servicios entre el Responsable de la base y el Encargado del tratamiento, pero su suscripción se encuentra implícita en varios artículos y deviene –a nuestro juicio- como imprescindible desde el punto de vista práctico. Cabe precisar que un eventual contrato de prestación de servicios como Encargado del tratamiento supondrá la existencia de un contrato principal entre las partes. El nuevo documento será un contrato accesorio, en los términos que define la doctrina, pues supone la existencia de un contrato principal. Generalmente se contratará al Contador Público para la realización de trabajos propios de su actividad, sin embargo la tarea supone –lleva implícito, podría decirse- el tratamiento de los datos personales que tiene el cliente en

sus bases de datos. El art. 30 de la Ley, bajo el acápite de “Prestación de servicios informatizados de datos personales”, establece que “Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aún para su conservación.” (subrayado nuestro) Veamos los distintos aspectos relacionados a este documento en el cual se establecerán todos los derechos y obligaciones que tiene cada una de las partes a la luz de la normativa. Deberá preverse que el Encargado del tratamiento tratará los datos de acuerdo a las instrucciones que se le confieran; que no los utilizará con fines distintos a los previstos; que guardará secreto y confidencialidad sobre su contenido y –por tanto- que no los comunicará a otras personas fuera de la relación contractual. Y resulta de especial significación la inclusión de cláusulas que prevean las responsabilidades de cada parte, ya que el Responsable de la base de datos tendrá frente a la Unidad Reguladora las suyas propias y las derivadas de los presuntos incumplimientos o violaciones en que pueda incurrir o hacerle incurrir el Encargado del tratamiento. Mas adelante veremos este punto en particular, pero vale la pena ya establecer desde ahora que aparentemente existe una contradicción en la norma, pues de acuerdo al “Principio de responsabilidad” previsto en el art. 12, “El Responsable de la base de datos es responsable de la violación de las disposiciones de la presente ley”, pero según el art. 35 el órgano de control podrá sancionar también al Encargado del tratamiento. Entonces, en este documento deberán establecerse específicamente – entre otros puntos de interés- qué pasará en caso de que el Encargado del tratamiento incurra en incumplimientos que sometan al Responsable de la base a sanciones por parte de las autoridades. Ya que el Responsable de la base tendrá sus propias responsabilidades y las que le genere el Encargado del tratamiento como consecuencia de un presunto incumplimiento al

contrato de servicios, deberá establecerse de forma expresa y clara la posibilidad de repetición del

comitente; garantías de cumplimiento y

eventuales retenciones o suspensiones del pago del precio del servicio para compensar las sanciones que afronte el Responsable. Veremos

en

la

última

parte

de

este

trabajo

las

principales

característica de este documento, pero desde ya adelantamos que a nuestro juicio, la suscripción del mismo deviene ineludible y altamente recomendable. VI) Conservación y destrucción de documentos El art. 30 en su parte final prevé la hipótesis específica de la persona que es contratada por el Responsable de la base de datos para realizar el tratamiento de los mismos. Así, establece que “Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos ...”. Este es el principio general que sienta la norma, aunque no es de carácter absoluto pues agrega que puede existir una autorización expresa para que los mantenga en su poder si “... razonablemente se presume la posibilidad de ulteriores encargos”. En este caso el plazo máximo de conservación de los datos será de “hasta dos años”. VII) Los empleados dependientes y subcontratos A partir de la modalidad contractual que venimos de analizar en el literal anterior, surge una segunda interrogante, definida la situación de cesión de datos entre el Responsable de la base y el Encargado del tratamiento, cuál será la situación jurídica de los empleados dependientes de uno y de otro, así como de las empresas y profesionales que subcontratan? La definición tan amplia conferida al Encargado del tratamiento (“persona que trate datos personales por cuenta del responsable de la base”), podría llevar a incluir a los empleados del Responsable de la base dentro de esta categoría. Así, todas las disposiciones atinentes al Encargado del tratamiento serían aplicables a los empleados dependientes. Sin embargo, no participamos de esta interpretación. Fundamos

nuestra posición en que la propia norma, en su art. 4 literal J), prevé la existencia de “personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento.” Y ésta sería la situación exacta a nuestro entender. No se trata de Encargados del tratamiento sino que son los propios dependientes del Responsable de la base que trabajan con los datos bajo la responsabilidad directa de su empleador. La misma situación se plantea respecto a los dependientes del Encargado del tratamiento, para quienes postulamos una solución idéntica. Los empleados dependientes del Encargado del tratamiento no se constituyen a su vez en Encargados del tratamiento ellos mismos, sino que son personas autorizadas a tratar los datos bajo la autoridad de su empleador. Más difícil de resolver es la situación de las entidades unipersonales (se trate de empresas o profesionales universitarios) subcontratadas por el Encargado

del

tratamiento

para

que

desempeñen

tareas

bajo

su

responsabilidad. O sea, servicios tercerizados del Encargado del tratamiento. En primer término, corresponde precisar que la normativa posibilita la contratación de más de un Encargado del tratamiento para realizar tareas en una misma base de datos. Así, un comitente podrá tener una empresa informática para que le procese los datos personales de una base de la cual sea Responsable, y a su vez, también tendrá un Estudio Contable que acceda a esos datos para cumplir sus tareas concretas. Esto es perfectamente posible. Distinto es el caso en que un Encargado del tratamiento subcontrate servicios para cumplir con obligaciones asumidas por él con el Responsable de la base. Esta situación no está prevista en la norma pero tampoco prohibida. Entendemos que, dado el espíritu de la normativa y la realidad que presenta el mercado nacional respecto a este tema (sumado a la reciente sanción de legislación sobre tercerizaciones y posibilidad de concreción de contratos de arrendamientos de servicios con profesionales universitarios en ciertas condiciones, que consagró el art. 105 de la Ley Nº 18.803, sobre el Nuevo Régimen Tributario), las subcontrataciones están habilitadas. Sin perjuicio de reconocer lo discutible del tema, resulta aconsejable que esta situación se

encuentre habilitada a texto expreso en el contrato de servicios celebrado entre el Responsable y el Encargado del tratamiento. VIII) Principio de reserva y secreto profesional Hasta ahora constituía una práctica habitual en la celebración de contratos de arrendamiento de servicios cuyo objeto era el manejo de datos del comitente por parte de sus empleados o de una empresa subcontratada, incluir una o más cláusulas sobre la confidencialidad y reserva que debía mantenerse. El art. 11 de la Ley, bajo el acápite de “Principio de reserva”, establece el alcance de esta protección, ya sea con respecto a los dependientes como a los terceros contratados. “Aquellas personas físicas o jurídicas que obtuvieren legítimamente información proveniente de una base de datos que les brinde tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.” El principio general entonces es el de prohibición de “toda difusión” por parte del Encargado del tratamiento. Pero la norma va mas allá y aclara que, se le asigna la calidad de “secreto profesional (art. 302 del Código Penal)” a la obligación que tienen los que por “su situación laboral u otra forma de relación con el responsable de una base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional ...” (art. 11) El secreto alcanza a los empleados dependientes del Responsable de la base de datos y a cualquier contratista que acceda a los datos para su tratamiento, así como a los dependientes de estos últimos y a las entidades unipersonales que se subcontraten, según venimos de analizar en el literal anterior. Esta obligación no tiene plazo de finalización, ya que el último párrafo del artículo establece que “… subsistirá aún después de finalizada la

relación con el responsable de la base de datos.” IX) Seguridad El capítulo IV del Decreto 414/009, dedicado a la Seguridad, tiene dos artículos concretos (7 y 8) sobre las medidas que deberán adoptarse y cómo actuar en caso de que exista una vulneración de las mismas. “Tanto el responsable como el encargado de la base de datos o tratamiento deberán proteger los datos personales que sometan a tratamiento, mediante aquellas medidas técnicas y organizativas que resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad.” (art. 7) Por su parte, complementando estos aspectos referidos a la seguridad de las instalaciones y de los datos, el art. 8 prevé que “Cuando el responsable o encargado de la base de datos o tratamiento conozca de la ocurrencia de vulneraciones de seguridad en cualquier fase del tratamiento que realice, que sean susceptibles de afectar de forma significativa los derechos de los interesados, deberán informarles de este extremo.” Esta obligación alcanza también al Responsable y al Encargado del tratamiento, aunque nuevamente se incurre en otra imprecisión refiriéndose a los “los derechos de los interesados” (que no están definidos en ningún lado) en lugar de hacerlo a los “titulares de los datos”, que parecen ser los principales afectados por la situación. La entidad reguladora no ha definido aún niveles mínimos de seguridad para los distintos tipos de bases de datos, pero seguramente la sanción de esta normativa es inminente. En España, por ejemplo, se determinaron tres niveles de seguridad (bajo, medio y alto) y cada uno de ellos tiene una regulación específica. X) La relación contractual De todo lo que hemos analizado en los literales anteriores, cabe concluir en que la celebración de un contrato entre el Responsable de la base y su Encargado del tratamiento se hace imprescindible, a pesar de que la

normativa sancionada hasta el presente no consagra esta obligación a texto expreso. Veamos cuales son las principales previsiones que deberá contener este documento, las cuales surgen de cada uno de los puntos que venimos de analizar. En general éste será un contrato accesorio, o sea, supone la existencia de uno principal. Difícilmente se contratará a alguien para que “trate datos por cuenta del comitente”, sino que se le contratará para otra tarea (contabilidad,

prestación

de

servicios

informáticos,

administración

de

edificios, etc.) y en virtud de esa contratación accederá a tratar los datos. El Principio de Legalidad (consagrado en art. 6 de la Ley) establece que las únicas bases de datos lícitas son las que se encuentren debidamente registradas. Ya vimos que esta obligación es de cuenta del Responsable de la base y no del Encargado del tratamiento. Ahora bien, incurrirá en responsabilidad un Encargado del tratamiento que trabaje sobre una base de datos no registrada, haciéndose pasible de sanciones por parte del Órgano de control por este sólo hecho? A nuestro juicio no es procedente que se aplique sanciones a un Encargado del tratamiento en estas condiciones, por dos razones. En primer lugar, porque la obligación de registro de la base es del Responsable y no del Encargado; y en segundo término, porque el referido principio consagrado en el art. 12 de la Ley prevé que éste será quien responda por las violaciones a la Ley. Sin perjuicio de ello, entendemos recomendable que en el caso de un Contador Público que deba acceder a bases de datos no registradas por sus clientes, que en el contrato se prevea esta situación a texto expreso exonerándose de cualquier tipo de responsabilidad. En

Encargado

del

tratamiento

deberá

actuar

conforme

a

las

instrucciones que le imparta el Responsable; no utilizará los datos a los que acceda con un fin distinto al que se establezca en el contrato de servicios ni los cederá a ningún tercero, ni aún para su conservación. A los efectos de ilustrar claramente el alcance de esta previsión en cuanto a la utilización de

los datos por parte del Encargado del tratamiento, podría darse el hecho de que –por ejemplo- un Contador Público que trate los datos de sus clientes para cumplir los fines específicos para los cuales fue contratado, realizara un envío masivo de correos electrónicos a los clientes (de sus comitentes) promocionando sus servicios. En este caso el Encargado del tratamiento estaría utilizando los datos que recibe para tratar con un fin distinto al que corresponde,

razón

por

al

cual

incurriría

en

incumplimiento

de

sus

obligaciones contractuales, resultando responsable frente a la URCDP por su conducta. Deberá además comprometerse a actuar con reserva y secreto profesional,

adoptando

organizativas

y

las

jurídicas,

medidas que

le

de

seguridad

permitan

necesarias,

asegurar

la

físicas,

integridad,

confidencialidad y disponibilidad de los datos. Vale la pena detenernos brevemente en este punto. La seguridad física de las instalaciones (locales, equipos, programas, etc.) no alcanzará si no es complementada con los aspectos jurídicos. Ello comprende a nuestro juicio, la suscripción con el personal -entendido éste en sentido amplio como socios, directores, empleados, otros profesionales, etc.- de los documentos necesarios que aseguren el alcance de los deberes de reserva, secreto y confidencialidad que tendrán todos ellos en el tratamiento de los datos. Deberá preverse también qué se hará con los datos una vez que finalice el contrato principal, pues si se visualiza que podrá entablarse en un futuro próximo una nueva relación, los datos podrán quedar en poder del Encargado del tratamiento -debidamente seguros- hasta por un plazo máximo de dos años. De lo contrario los datos personales “deberán ser destruidos”, dice la norma, aunque pensamos que si se establece a texto expreso en el documento esta posibilidad, podrían ser devueltos al Responsable de la base. Por

último,

decíamos

que

deberá

pactarse

cuales

serán

las

responsabilidades de cada uno ante la eventualidad de recibir sanciones por incumplimiento. Téngase en cuenta que el Responsable de la base responderá frente al Órgano de control por sus propios incumplimientos y por los que pueda incurrir como consecuencia de las acciones u omisiones del Encargado

del tratamiento. En este caso sería razonable pensar que en el documento se prevea un régimen de indemnidades y repetición que cubran al Responsable frente a una situación de este tipo. V) Conclusiones De lo expuesto, cabe concluir que las empresas en general (ya se trate de las Responsables de las bases de datos o de los Contadores Públicos Encargados del tratamiento de los mismos), deberán adoptar las medidas organizativas y jurídicas a los efectos de adecuar su operativa en relación a los datos personales que manejen. En particular, las personas físicas o jurídicas que actúen en calidad de Responsables de las bases de datos –incluyendo a los Contadores Públicos- , deberán registrar sus bases para que éstas sean consideradas “lícitas” en términos de la Ley. Pero como vimos, ésta es sólo una pequeña parte de la tarea que deberán acometer, pues si ese registro no se ve complementado con una serie de medidas concretas, tanto jurídicas como organizativas, de poco servirá. Los Contadores Públicos, tal como venimos de exponer anteriormente, en su calidad de Responsable de sus bases deberán implementar los procedimientos para que los titulares de los datos ejerzan sus derechos de acceso, rectificación, modificación, etc., designando las áreas o personas encargadas y elaborando los recaudos correspondientes. De la misma forma, se hace necesario que los contratos que el profesional maneja contemplen el tratamiento de los datos por parte de su personal y de los terceros que para él desempeñen tareas (por ej, las empresas

informáticas

que

puedan

hacerle

el

mantenimiento

de

su

instalación). Los contratos de trabajo, con los clientes, con los proveedores y subcontratistas deberán tener cláusulas adecuadas que lo resguarden y protejan ante una irregularidad generada por el mal uso o acceso indebido a los datos. Si también presta servicios a través de la web, deberá implementar

una política de privacidad que regule y publicite a sus usuarios la forma en que se tratarán sus datos. El Contador Público, como Encargado del tratamiento de datos, al igual que en el caso anterior, deberá también tomar los recaudos del caso a los efectos documentar en debida forma los derechos y obligaciones que emanen de tal situación, celebrando los contratos respectivos. En especial el contrato accesorio al principal que le permita tratar con responsabilidad y tranquilidad jurídica los datos personales que sus clientes le proporcionen.

------------------ooooo0ooooo -------------------(1) Sentencia Nº 36 del Juzgado Letrado de lo Contencioso Administrativo de 3º turno de 23 de octubre de 2008. (www.elderechodigital.com – Base de Datos de Jurisprudencia) (2) Dr. Alvaro J. Eirin – “La Protección de los datos personales relacionados con la salud de los trabajadores” (www.elderechodigital.com – Base de Datos de Doctrina) (3) Proyecto de Ley – www.parlamento.gub.uy (4) Dr. Fernando Vargas – “Las empresas TICs como "Encargados del tratamiento" de Datos Personales” (www.elderechodigital.com – Base de Datos de Doctrina) (5) Informe 290/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos. (6) Análisis de la figura del Encargado del tratamiento - Año 2000 (www.aepd.es) ------------------ooooo0ooooo -------------------(*) Abogado especialista en Derecho de las Nuevas Tecnologías. Docente universitario de la materia. Asesor legal de la Cámara Uruguaya de Tecnologías de la Información (CUTI) Consultor integrante de GDA-IT, empresa especializada en asesoramiento jurídico en tecnologías de la información y las comunicaciones. [email protected]