¿Tienes un encargado de tratamiento clave de tus sistemas informáticos?
La obligación de diligencia y verificación de que el encargado mantiene los sistemas seguros es responsabilidad del responsable de tratamiento como se puede ver en una reciente Resolución de la AEPD que establece una Sanción de 𝟮𝟬𝟬.𝟬𝟬𝟬 euros a un centro hospitalario por deficiencias de seguridad en sus sistema de gestión hospitalaria.
Artículo 28 del RGPD: Relación entre Responsable y Encargado del Tratamiento
El caso expone fallos específicos en la relación jurídica entre el hospital (responsable del tratamiento) y la empresa que provee y gestiona el software (encargado del tratamiento), de acuerdo con lo dispuesto en el Artículo 28 del RGPD:
· Contrato de Encargo de Tratamiento: El RGPD establece que el responsable solo debe contratar con encargados que ofrezcan garantías suficientes para implementar las medidas de seguridad necesarias. La Resolución de la AEPD consideraba que el contrato con la empresa tecnológica no detallaba adecuadamente las medidas de protección de datos exigidas, y el hospital no realizó una verificación exhaustiva de la capacidad de la empresa para cumplir con las normas del RGPD.
· Supervisión del Encargado: Igualmente la AEPD consideró que el hospital no monitorizó adecuadamente el cumplimiento de las medidas de seguridad por parte del encargado. Esto incluye auditorías periódicas y revisiones de seguridad para garantizar que las políticas y medidas de seguridad se aplicaban de manera efectiva. La falta de supervisión facilitó un entorno donde las deficiencias pasaron desapercibidas, lo que resultó en vulnerabilidades significativas para los datos de los pacientes.
· Evaluación y Gestión de Riesgos Compartida: Aunque el encargado tiene la responsabilidad de aplicar las medidas de seguridad necesarias, la AEPD recuerda en su Resolución que el responsable del tratamiento debe verificar y exigir que dichas medidas sean efectivas y suficientes. En este caso, el hospital no coordinó adecuadamente con la empresa tecnológica para evaluar y gestionar los riesgos asociados al tratamiento de los datos personales. No se realizaron auditorías de seguridad, ni se coordinó para mitigar los riesgos identificados.
· Responsabilidad: En caso de incumplimiento de la normativa, tanto el responsable como el encargado pueden ser responsables de las infracciones, conforme a lo dispuesto en el RGPD. La sanción impuesta al hospital ilustra que ambos, responsable y encargado, tienen obligaciones de aseguramiento de la seguridad de los datos, y que la responsabilidad no se limita solo al encargado.
Conclusión
Esta resolución sancionadora de la AEPD ilustra la importancia de una adecuada implementación de medidas de seguridad y un cumplimiento riguroso de las obligaciones de los responsables y encargados del tratamiento en protección de datos. El RGPD enfatiza que ambos deben actuar diligentemente para proteger los derechos de los interesados, en este caso los pacientes, y asegura que el tratamiento de sus datos se realiza en un entorno seguro y conforme a la normativa.
