Thursday, April 13, 2006

¿Qué hacemos con las subcontrataciones en cadena?


El proceso de reinterpretación de la normativa de protección de datos al que se ve obligado la Agencia Española de Protección de Datos ha encontrado una buena piedra de toque en el tratamiento de la subcontratación internacional, toda vez que es una situación cada vez más presente en los procesos de negocio de las empresas españolas; sólo hay que pensar en ISP's que externalizan sus servicios de hosting y housing en países de menores costes, en agencias de marketing que utilizan plataformas ASP gestionadas desde, por ejemplo, Sudáfrica, o clientes cuyo servidor de correo o copias de seguridad remotas se encuentran alojadas, en realidad, en EE.UU aunque la empresa que me facture tenga CIF español. Por no hablar de corporaciones multinacionales donde empresas matrices y filiales se prestan servicios recíprocamente (por ejemplo, aplicación de RR.HH alojada en la casa matriz de Dinamarca y "alimentada" desde Internet por todas sus filiales sitas dentro y fuera de la Unión Europea).
El problema empieza desde el artículo 12.2 de la Ley Orgánica 15/1999, que establece, al tratar la figura del encargado del tratamiento (la empresa subcontratada, para entendernos), que éste "no comunicará los datos, ni siquiera para su conservación, a otras personas”. La justificación de este artículo se fundamenta en el poder de disposición que tiene todo usuario (afectado, según la curiosa denominación legal) sobre la información que le concierne, lo que obliga a que, si la ley admite la posibilidad de que los datos puedan ser tratados por un tercero (cualquier servicio de subcontratación que se nos ocurra), será preciso que la empresa que ha contratado el servicio (Responsable a todas luces en caso de incumplimiento, con, además, mayor grado de responsabilidad que la empresa subcontratada) conozca en cada momento qué entidades acceden a dichos datos, a fin de "vigilar al vigilante" y garantizar al usuario que sus datos están siendo controlados según el tratamiento que éste mismo ha autorizado.
Esto, por desgracia, no suele ser la norma en la vida empresarial, donde es muy habitual que las empresas subcontratadas jueguen al escondite y subcontraten, a su vez y sin conocimiento de la empresa contratante, con terceras entidades, formando una cadena que, según el razonamiento anterior, contraviene la normativa, ya que cualquier subcontratación posterior debería ser puesto en conocimiento de la empresa subcontrante, entre otras cosas, para que ésta pudiera atender cualquier reclamación efectuada por el afectado y para conocer en cada momento quién tiene acceso a esos datos. Luz y taquígrafos que aporten la transparencia necesaria para garantizar la trazabilidad de los datos y, en su caso, poder depurar responsabilidades en caso de incumplimiento.
Pues bien, hacer posible que un segundo subcontratista pudiera tratar los datos (según la propia interpretación de la Agencia) se logra bien mediante su participación directa en el contrato con la empresa contratante (contrato a tres bandas, en este caso), bien mediante un apoderamiento otorgado al primer subcontratista para que éste actué en el nombre y por cuenta del contratante, o bien haciéndose constar expresamente en el contrato firmado entre el responsable y el primer encargado la propia circunstancia de la subcontratación.
Pero, ¿qué sucede si para prestar ese segundo servicio de subcontratación fuera necesaria una transferencia internacional de datos a un tercer Estado que, según la Comisión Europea, no ofrece un nivel adecuado de protección de datos, como, pongamos, Sudáfrica?. Hemos visto que si yo como cliente contrato, por ejemplo, el mantenimiento de copias de seguridad remotas a un proveedor sudafricano deberé incluir en el contrato correspondiente lo dispuesto en el artículo 12, así como las cláusulas contenidas en la Decisión 2002/16/CE, mediante las que se adopten las adecuadas garantías de protección de datos que permitan la autorización de la transferencia internacional.
Otro caso sería que yo contratara este servicio a un ISP español que, a su vez, hubiera subcontratado dicho servicio con el proveedor sudafricano. En este caso, a día de hoy no existen mecanismos para establecer las adecuadas garantías que permitan vincular directamente a dos encargados del tratamiento (el ISP español y el proveedor sudafricano). Es decir, los supuestos planteados hasta ahora, tanto en España (ver Instrucción 1/2000) como en la Comisión Europea (Decisiones 2001/497/CE, 2004/915/CE, y Decisión 2002/16/CE, ya citada), contemplan situaciones de transferencias bien entre Responsables del Fichero (por ejemplo, cesiones de datos entre dos empresas con fines de marketing o publicidad) o bien entre responsable y encargado, pero no entre dos encargados del tratamiento. Es decir, que si al ISP del ejemplo le da por subcontratar en un país extracomunitario, simplemente, no podría hacerlo salvo que sus clientes firmaran directamente un contrato con el proveedor sudafricano, con arreglo a los requisitos descritos en las normas citadas anteriormente.
En fin, que....el panorama se complica. Y no sé por qué me da que a muchas empresas intermediarias no les va a hacer mucha gracia dar visibilidad al resto de los eslabones de la cadena, por aquello de que sus clientes empiecen a plantearse cual es el valor añadido en cada eslabón.
Por lo pronto, esperemos que la Agencia y/o la Unión Europea pergeñen alguna solución a un problema que afecta y afectará cada vez más a las empresas españolas....y a las internacionales con interés en el mercado español.
Uff, que post más pestiño. Parece que el espíritu de la Semana Santa me anima a la flagelación propia y ajena....

0 Comments:

Post a Comment

<< Home