RESPONSABILIDAD DE LOS ENCARGADOS.

Las sanciones se imponen al responsable del tratamiento.

Si hacemos un análisis de las brechas de seguridad, que se han conocido desde el 25 de mayo, veremos que un gran número de ellas, han tenido su origen en el proveedor que trataba los datos.

En el momento de distribuir las responsabilidades, veremos que, el incumplimiento de las obligaciones del proveedor encargado del tratamiento, puede afectar al responsable del tratamiento que ha contratado sus servicios.

El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando).

En la práctica, la empresa responsable del tratamiento, será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.

información sanciones

EL ENCARGADO, COMO RESPONSABLE DEL INCUMPLIMIENTO

El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados,

Puede encontrar limitaciones de responsabilidad en el contrato, o limitaciones de cobertura en la póliza de seguros del proveedor.

La empresa responsable del tratamiento puede verse entonces atrapada, entre las reclamaciones de los perjudicados, y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados.

derivar la responsabilidad de las sanciones

PROBLEMAS PARA DERIVAR ESA RESPONSABILIDAD

EL CONTRATO

La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:

  1. Cuantitativa: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.
  2. Cualitativa: basada en la exclusión de unos supuestos determinados de responsabilidad.
  3. Indirecta: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.

LIMITACIONES DE LA PÓLIZA DE SEGURO

En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo.

La limitación de responsabilidad en este caso también puede ser de tres tipos:

  1. Cualitativa: supuestos excluidos de la cobertura.
  2. Cuantitativa individual: límite por siniestro.
  3. Cuantitativa anual: límite por la suma anual de siniestros.

Un ejemplo, de supuesto excluido de la cobertura del seguro de responsabilidad civil, son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.

SOLVENCIA ECONÓMICA DEL PROVEEDOR

La tercera barrera sería la solvencia económica del proveedor.

sanciones y la solvencia económica del proveedor

«CURARSE EN SALUD»

El análisis de la existencia, y la dimensión, de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD, y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.

Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:

  1. Durante la fase de negociación del contrato con el proveedor seleccionado.
  2. Durante la vigencia del contrato, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.
  3. Tras la brecha de seguridad o el incidente o incumplimiento que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades, en función del nivel de implicación en las causas del incidente, o por vía judicial.

Una vez constatado el papel de los proveedores en las brechas de seguridad, y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de:

  • -selección
  • -homologación
  • -contratación
  • – y control continuado de los proveedores que traten datos personales

Y todo ello con el fin de introducir medidas, que permitan una distribución adecuada de las responsabilidades.

Estas medidas deberán incluir una revisión:

  • -del contrato.
  • -de la cobertura del seguro
  • -de la solvencia del proveedor

Y todo ello con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar, en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.