El contrato de tratamiento de datos

Publicado por Jesús Pérez Serna - Marketing Positivo un Miércoles, Marzo 24th 2010   
24
Mar

Es habitual para las empresas trabajar con varios terceros que para prestarles un servicio acceden o pueden tener acceso a datos de su titularidad, como es el caso de la gestoría que elabora las nominas de los empleados, las empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos, empresas de almacenamiento externo y destrucción de documentación, empresas de seguridad y vigilancia, imprentas que etiquetan sobres para mailing, etc…

Como vimos en el artículo dedicado a las personas con responsabilidad en protección de datos, cuando el responsable de un fichero encarga a una tercera persona, denominado encargado del tratamiento, el mantenimiento, gestión o conservación de sus datos, estos servicios deberán estar regulados por escrito o en alguna forma que permita acreditar su celebración y contenido, especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD).

El artículo 12 de la LOPD, Acceso a los datos por cuenta de terceros, indica:

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Además el artículo 20 del Reglamento de desarrollo de la LOPD, Relaciones entre el responsable y el encargado del tratamiento, añade una advertencia en su punto 2:

2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Por lo tanto en cada relación profesional que suponga acceso a datos personales que la empresa establezca con terceros externos, es muy importante que se asegure que el correspondiente contrato de prestación de servicios refleje todos los condicionantes indicados en el artículo 12 de la LOPD, como mínimo:

  • Tratar los datos conforme a las instrucciones del responsable del tratamiento.
  • No utilizarlos con un fin distinto al estipulado en el referido contrato, ni comunicarlos ni siquiera para su conservación a otras personas.
  • Cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos.
  • No podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo.
  • Facebook
  • Meneame
  • Twitter
  • Share/Bookmark

Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss

Archivado bajo: Básico     Etiquetas: , ,
63 Comentarios   



Artículos Relacionados

  • Tienes que instalar el plugin 'similar post' para ver esta sección.

    • Hay 63 Comentarios para “El contrato de tratamiento de datos”

    1. CAROLINA Dice:
      Octubre 26th, 2011 a las 12:10

      Muchas gracias Jesús

    2. abel Dice:
      Octubre 26th, 2011 a las 12:55

      ¿Que nivel de seguridad se exige en este caso (religión)? ¿Las personas encargadas de la gestion del cobro podrían ser personas físicas sin ser autónomos?¿Que medidas de seguridad deben tener?

    3. Jesús Pérez Serna - Marketing Positivo Dice:
      Octubre 26th, 2011 a las 14:39

      Abel: es uno de los casos en los que se requiere medidas de seguridad de nivel alto. Están especificadas aquí: Medidas de seguridad de nivel alto

    4. abel Dice:
      Octubre 26th, 2011 a las 22:10

      Una cosa más, he leido el enlace que me has enviado ,muchas gracias por él.
      Más concretamente el caso que tratamos, la hermandad ha dado unas cartulinas, con el nombre de la hermandad, los datos de domicilio, el numero de hermano y no recuerdo si algun otro dato. En ningún caso está cifrado ni codificada esa información, se lee claramente, es más si pagas la cuota anual entera te entregan la cartulina con todos esos datos. Pudiendo pagarlo yo o cualquier persona que este en mi domicilio en el momento en el que se presenten a cobrar, ya que lo hacen sin previo aviso.
      En este caso y atendiendo a las medidas de seguridad ¿entiendo que se infringel a normativa al respecto no? o ese soporte es correcto.?

    5. Jesús Pérez Serna - Marketing Positivo Dice:
      Octubre 26th, 2011 a las 22:27

      Abel: pues tal y como lo cuentas resulta bastante primitivo como sistema de gestión de información y desde luego nada ajustado a la LOPD. Ese procedimiento debería ser auditado y corregido.

    6. abel Dice:
      Octubre 27th, 2011 a las 17:26

      Entiendo por lo que me dices y para oconcretar e informar a la hermandad, que la forma en que han cedido los datos de los hermanos de la hermandad, para que se gestione el cobro, al no cumplir las medidas de seguridad necesaria para ceder este tipo de ficheros por tocar temas como la religion, esta hacienodse de forma ilegal.
      ¿Si alguien denuncia tal hecho y denuncia a la hermandad, podrían multarnos a la hermandad?

    7. Jesús Pérez Serna - Marketing Positivo Dice:
      Octubre 27th, 2011 a las 17:41

      Abel: desde luego es denunciable y seguramente se abriría un expediente sancionador. Otra cosa es lo que dictaminara la AEPD, ahí entran en juego muchas cuestiones que ignoro, como si existe o no contrato de tratamiento, si lo ficheros están dados de alta, si hay documento de seguridad, etc….

    8. CAROLINA Dice:
      Noviembre 7th, 2011 a las 14:24

      Hola buenas tardes:
      Estoy un poco confusa con la figura de encargado de tratamiento, en la que tendremos que regular el mismo a través del contrato del que hablas en el articulo y cesión de datos. Todo esto despues de haber estado leyendo algunos informes y resoluciones de la AEPD en su página web. En algunos casos las empresas de prevención de Riesgos laborales pueden convertirse en Responsables del fichero y en el caso de los corredores de seguros ocurre lo mismo. ¿ Me podrías aclarar esto?
      Gracias

    9. Jesús Pérez Serna - Marketing Positivo Dice:
      Noviembre 7th, 2011 a las 15:05

      Hola Carolina: cualquier encargado del tratamiento puede pasar a responsable del fichero si se dan determinadas circunstancias, pero resulta extremadamente difícil hablar en general, se debe examinar caso por caso en función de la situación concreta.

    10. CAROLINA Dice:
      Noviembre 18th, 2011 a las 12:54

      Búenos días Jesús:
      Parece que ultimamente solo me ocurren temas relacionados con la LOPD. Será que cuanto más la conoces más dudas surgen? En fin a la empresa de mi marido le han mandado una solicitud de documentación por parte de la Inspección provincial de trabajo y seguridad social. En el mismo le solicitan datos de sus clientes. Nombre o razón social ,domidilio, etc El problema es que muchos de esos clientes son particulares y no sabemos hasta que punto debe o no darlos, aunque en el mismo escrito exponen que en el caso de la no presentación de esa documentación sería un acto de obstruccion, de acuerdo con el art 50 del texto refundido de la Ley sobre infracciones y sanciones del Orden Social y además nos sancionaríam. ¿ Debemos entonces darles estos datos? Gracias

    11. Jesús Pérez Serna - Marketing Positivo Dice:
      Noviembre 18th, 2011 a las 16:31

      Carolina: esta es una de esas preguntas demasiado concretas como para poder responderlas con un mínimo de rigor sin ver toda la documentación. Habría que estudiar la motivación de la solicitud y ver en qué se basa. En principio se podría pensar que al venir pedido por una autoridad será todo legal, pero ya hace un tiempo la Generalitat de Cataluña pidió una serie de datos excesivos a varios hospitales, y los multados por la AEPD fueron estos últimos (aunque la sanción se atenúo). Sería poco riguroso por mi parte dar una respuesta sin más.

    12. Carmen B. Dice:
      Diciembre 27th, 2011 a las 11:42

      Buenos días,
      A mi me surge la duda sobre como tratar este tema de encargados de tratamiento cuando la transmisión de datos se hace entre empresas del mismo grupo (mismo dueño), si por ejemplo la funcion de RRHH, Contabilidad, etc. esta centralizada en una de las empresas y presta servicio a todas las demas… como se debería tratar esto? hacer un contrato de tratamiento de datos en los que el firmante sea el mismo para el responsable del fichero y el encargado de tratamiento?? gracias.

    13. Jesús Pérez Serna - Marketing Positivo Dice:
      Diciembre 27th, 2011 a las 11:47

      Hola Carmen, gracias por visitarnos y comentar.
      Creo que tienes respuesta a la pregunta en esta otra entrada: Traspasos de datos entre empresas del grupo.

    « Comentarios más viejos

    Deja un Comentario

    «
    »