El cumplimiento contractual: otra ventaja colateral de cumplir la LOPD

Miniatura noticia

Hace unos meses, recibí una invitación para aportar ideas en un grupo sobre “ventajas de cumplir la LOPD” para tratar de confeccionar un documento de “cumplimiento en positivo”. La verdad es que como asesor fiscal, nunca jamás me plantee que hubiera que buscar “aspectos positivos” para pagar impuestos (que los habrá, no digo yo que no), pero mis clientes nunca me los preguntaron, y menos últimamente viéndose lo que se está viendo…

Mi opinión es contraria a este enfoque… Para cumplir no hay que buscar motivos: hay que cumplir. El motivo fundamental, en mi opinión, es que las leyes, son de obligado cumplimiento y punto. En cambio, lo que sí que se produce en muchos casos, o se pueden producir, son lo que yo llamo “ventajas colaterales”. Es decir, aspectos de gestión empresarial –por ejemplo- que se mejoran o se pueden mejorar (las oportunidades, en la empresa como en la vida, no basta con detectarlas, sino que hay que saber aprovecharlas) al realizar –también por ejemplo- un análisis de los flujos de datos que se producen en la empresa, como la eliminación de procesos que originan duplicidades de tratamientos o exigen mayores esfuerzos o recursos en la forma en que se están realizando, u otros… Y otra de esas ventajas colaterales, puede ser la que les voy a contar hoy.

Recientemente he trabajado con una empresa (de las de aquí de mi pueblo, pequeñita, vamos, de las que no van a necesitar implementar un DPO cuando se apruebe el reglamento europeo… para que nos entendamos) en la adaptación de sus procesos empresariales para el cumplimiento de la normativa en protección de datos. Opera en el sector comercial, y depende totalmente de “LA GRAN EMPRESA”, una multinacional que, bajo un contrato de agencia, provee (es una forma coloquial de hablar, puesto que no le transmite la propiedad) del producto principal que mi cliente comercializa en su establecimiento. Pero no sólo eso, sino que además de ese contrato de agencia, mantiene, también con “LA GRAN EMPRESA”, otro contrato, este  de franquicia, por el cual, mi cliente, también comercializa otros productos y/o servicios suministrados por “LA GRAN EMPRESA” en el mismo establecimiento, pero como digo, en este caso, bajo una relación mercantil de franquicia

El primer problema con el que me encontré[i] es que, al analizar los flujos de datos personales que se producen en la actividad, y al examinar y contrastar el análisis anterior con el contrato de agencia y dentro del análisis de documentación aportada por mi cliente, en su clausulado me encuentro lo siguiente:

“La información y datos contenidos en los ficheros son de exclusiva titularidad de LA GRAN EMPRESA, como responsable de los ficheros, y tienen carácter personal y confidencial y, consecuentemente, de acuerdo con los artículos 9 y 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, el TITULAR, únicamente, tratará los datos conforme a las instrucciones de LA GRAN EMPRESA, no podrá aplicarlos o utilizarlos con fines distintos a los del objeto del presente Contrato, ni comunicarlos, bajo ningún concepto, ni siquiera para su conservación a otras personas.

El TITULAR –se refiere a mi cliente- adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o, acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Asimismo se compromete a no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a la de los centros de tratamiento, locales, equipos, sistemas y programas.

(…)

Es decir, el TITULAR es un encargado de tratamiento (nótese referencia al art.12) y por esto, el responsable (al igual que la propia normativa), le impone que adopte las oportunas medidas de seguridad. Hasta aquí, nada nuevo bajo el sol.

Pues bien, a cumplir se ha dicho… En relación a tratamientos no automatizados, mi cliente puede adoptar (y adoptó)  cuantas medidas organizativas y técnicas son precisas para cumplir lo establecido reglamentariamente, pero a la hora de hablar de medidas que afectan a tratamientos automatizados, se encuentra con que no puede hacerlo; me explicaré: mi cliente, como ya he dicho, mantiene otro contrato, este de franquicia, con otra sociedad del grupo de LA GRAN EMPRESA, por el cual, mi cliente recibe en cesión de uso el mobiliario, enseres, EQUIPOS INFORMÁTICOS y APLICACIONES para la gestión, tanto de la tienda, como de todas las ventas de productos que se realicen en el establecimiento (así reza en el contrato de franquicia), o sea, tanto de las que se venden dentro de la relación de franquiciado, pero también las que se intermedian como agente.

En este mismo contrato, se establece que, el servicio de parametrización y mantenimiento de los equipos y aplicaciones cedidos es prestado por la franquiciadora (que ocupa –en mi opinión, y en relación al contrato de agencia- una posición de “subencargado de tratamiento” por prestar un servicio a mi cliente para que él pueda realizar los tratamientos por cuenta de LA GRAN EMPRESA en relación a ese contrato de agencia).

Entre las medidas de seguridad que mi cliente debería adoptar en función de la naturaleza de los datos y de los riesgos a los que están expuestos, en relación a los tratamientos automatizados que por cuenta de LA GRAN EMPRESA lleva a cabo, estarían la adopción de sistemas de autenticación de usuarios (por ejemplo de contraseñas de acceso), disponer de tantos usuarios del aplicativo como personas en el establecimiento acceden al mismo (y no uno por establecimiento, como ocurre actualmente), de poder variar con una periodicidad recomendable dichos mecanismos de autenticación (al menos una vez al año, y no como ahora, que no se cambia ni se ha cambiado nunca) o de poder definir, por ejemplo, que quiere realizar una copia de seguridad en una unidad extraíble cifrada para poder guardarla custodiada en un lugar diferente de aquél en el que están los equipos. Pero todas estas medidas, no puede adoptarlas si no lo hace por él la franquiciadora de LA GRAN EMPRESA, que es la única que tiene el control oportuno y privilegios para ello en SU sistema (cuyo uso cede, eso sí, al franquiciado, pero con privilegios de “mero usuario”). Por tanto, mi cliente “se ve obligado” a adoptar unas medidas que sólo la fanquiciadora (del grupo empresarial) puede implementar y que hasta el día de hoy, no ha implementado.

Y para colmo de mis males (o mejor dicho, de los males de mi cliente), el contrato de agencia se cierra con una velada amenaza de posibilidad de rescisión del mismo si se incumplen las obligaciones impuestas. Textualmente cito:

“La eventual vulneración por el TITULAR de los compromisos anteriores, será causa de extinción automática del presente Contrato, y tendrá también entre otras consecuencias, la imposición de una indemnización que permita compensar todos los daños y perjuicios ocasionados a LA GRAN EMPRESA a causa del antedicho incumplimiento, siendo considerado el TITULAR asimismo responsable de las infracciones en que hubiera incurrido”

O sea que el incumplimiento de estas imposiciones, puede ocasionar la extinción del propio contrato de agencia, amén de poder repercutirle los daños y perjuicios que se pudieran producir (y justificar, entiendo y añado yo).

Por lo tanto nos encontramos ante una referencia circular, o si lo prefieren ante la tradicional pescadilla que se muerde la cola. Gracias al trabajo realizado, y al buen hacer de algún afortunado contacto (GRACIAS  “amigo anónimo”), parece que la Asesoría Jurídica de LA GRAN EMPRESA, se ha dado cuenta del problema, y ya está solucionándolo o en vías de ello. Las cosas de palacio… ya se sabe.

En los contratos de agencia de nueva celebración, han variado la cláusula que he referido y ya no hablan de “medidas de seguridad reglamentarias”, sino que separan entre todas las comprendidas en el Título VIII del RD 1720/2007, y solo obligan a los agentes a adoptar aquellas medidas que realmente ellos pueden adoptar; básicamente les imponen la formación a sus empleados, la comunicación de incidencias al Responsable, la  identificación de soportes, el deber de secreto y pare Usted de contar (además, lógicamente, de la posibilidad de recoger y transmitir al Responsable formularios para el ejercicio de derechos ARCO). Para los establecimientos como el de mi cliente que ya tenían contratos en vigor, parece ser que han creado unos anexos que se celebran exclusivamente a petición de los agentes aunque sólo si la solicitud se cursa a través de la red comercial… Bueno, menos da una piedra ¿no?, que decimos por aquí.

Para finalizar y a modo de conclusión: si es que aún no lo han hecho, les recomiendo que revisen todos los contratos que tengan en vigor –recomiendo todos, pero como mínimo aquellos que resulten vitales para la actividad de su negocio- y fíjense bien al hacerlo en el contenido de los mismos referido a la normativa de privacidad (y al resto, podríamos añadir), ya que cuando se negocian contratos, las partes suelen centrarse más en las condiciones económicas, y podrían llevarse un susto de órdago si algún día su GRAN EMPRESA, decide hacer uso de estos “flecos” que nadie se lee para rescindir contratos y exigir responsabilidades.

 Muy buenos días…

 

Imagen: ® joebeone en Compfight®



[i] No fue el único. Otro día si puedo, les hablaré de “la batalla de las tarjetas de crédito”.


Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*