Es habitual para las empresas trabajar con varios terceros que para prestarles un servicio acceden o pueden tener acceso a datos de su titularidad, como es el caso de la gestoría que elabora las nominas de los empleados, las empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos, empresas de almacenamiento externo y destrucción de documentación, empresas de seguridad y vigilancia, imprentas que etiquetan sobres para mailing, etc…
Como vimos en el artículo dedicado a las personas con responsabilidad en protección de datos, cuando el responsable de un fichero encarga a una tercera persona, denominado encargado del tratamiento, el mantenimiento, gestión o conservación de sus datos, estos servicios deberán estar regulados por escrito o en alguna forma que permita acreditar su celebración y contenido, especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD).
El artículo 12 de la LOPD, Acceso a los datos por cuenta de terceros, indica:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Además el artículo 20 del Reglamento de desarrollo de la LOPD, Relaciones entre el responsable y el encargado del tratamiento, añade una advertencia en su punto 2:
2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.
Por lo tanto en cada relación profesional que suponga acceso a datos personales que la empresa establezca con terceros externos, es muy importante que se asegure que el correspondiente contrato de prestación de servicios refleje todos los condicionantes indicados en el artículo 12 de la LOPD, como mínimo:
- Tratar los datos conforme a las instrucciones del responsable del tratamiento.
- No utilizarlos con un fin distinto al estipulado en el referido contrato, ni comunicarlos ni siquiera para su conservación a otras personas.
- Cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos.
- No podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo.
Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss
Mayo 27th, 2010 a las 16:11
Buenas tardes,
tengo una duda relativa a la cesión y encargo del tratamiento.
Por ejemplo, si contratas los srvicios de laboral y fiscal con una asesoría, seria necesario firmar un contrato de encargo del tratamiento, ¿no?. Pero en el caso de tener contratado un servicio de prevención ajeno, ¿tambien se debe firmar un contrato de encargo del tratamiento o por el contrario firmar un contrato de prestacion de un servicio? si en el contrato que ellos mandan ya se trata el tema de la proteccion de datos, se debe firmar igual?
Y en el caso de ser subcontratado por una empresa del mismo sector, como ocurre en la construcion, y que para la prevencion de riesgo hay que cder los datos, que tipo de contrato se debe firmar?
un saludo
Mayo 27th, 2010 a las 19:55
Hola Susana, gracias por visitarnos y comentar.
Respecto a la primera cuestión, tal y como imaginas, el llamado contrato de tratamiento no tiene porque ser un documento aparte, si se ha hecho así en general es porque se trataba de regular relaciones mercantiles establecidas antes de la aparición de la LOPD, y obviamente los nuevos condicionantes legales tenían que ser reflejados en un documento nuevo.
Lo lógico es que asesorías, empresas de hosting, de telemarketing, etc… incorporen las cláusulas que exige la ley a su contrato de prestación de servicios, y se firme un sólo documento con clientes nuevos.
Respecto a la segunda cuestión, al ser mucho más concreta, es más difícil dar una respuesta tajante, pero siempre hay que recordar que no se considera cesión ni se precisa consentimento de los afectados cuando el trasvase de datos está amparado por una ley.
Sobre subcontratas en construcción puedes obtener más información en este otro artículo: Cesión de los TC2 y nóminas de los trabajadores de las subcontratas
Junio 30th, 2010 a las 21:27
Hola, estoy ayudando a un amigo a ponerse al día con la LOPD y me ha surgido una duda. ¿me podrían ayudar?
Él es un administrador de fincas y a la hora registrar ficheros de las comunidades y firmar la documentación, el presidente es el que tiene que firmar, ya que actua en representación de la comunidad, ¿verdad? y otra;
En cuanto tengamos un cambio de presidente, debemos de modificar los contratos de tratamiento de la información?
Muchas gracias de antemano
Junio 30th, 2010 a las 21:52
Adrián: gracias por comentar.
Efectivamente el presidente firma el alta de ficheros. Cuando cambie no hay que modificar contratos, sólo el apartado del Documento de Seguridad donde se indica quién tiene acceso a los datos personales (puesto que el nuevo presidente lo tendrá).
Más información sobre este tema en la etiqueta del blog: Administradores de fincas.
Julio 19th, 2010 a las 9:58
Estimado Jesús, ante todo le agradezco su artículo de gran interés y utilidad.
Mi consulta es la siguiente, es necesario para una asesoría que realiza gestión de nóminas y contabilidad la inscripción de ficheros ante la AEPD? y además, es necesario reflejar esa inscripción en el documento de seguridad de la asesoría?
Y por último, y en cuanto a los ficheros físicos (carpetas con documentación, cd´s y dvd´s) que contienen datos personales de los clientes de la asesoría y que se guardan en dependencias de la misma, es necesario reflejar su existencia en el documento de seguridad o dar de alta algún tipo de fichero ante la AEPD?
Desde ya muchisimas gracias por su respuesta.
Julio 19th, 2010 a las 13:57
Hola Daniel, gracias por visitarnos y comentar.
La asesoría tendrá que inscribir sus propios ficheros (seguro que el de clientes y quizás otros como empleados, si los tuviere) y reflejar esta inscripción en su Documento de Seguridad. En el momento de realizar la inscripción se indicará el o los tipos de soportes en los que se conserva la información.
Octubre 24th, 2010 a las 17:33
Hola Jesús, junto con saludarte, espero puedas aclararme lo siguiente:
Soy encargado de una carpintería, durante unos cuatro años, he recibido los sueldos del personal y pagar según corresponda incluido mi sueldo. Generalmente se me entregaban sobres con distintas cantidades haciendo el entero que yo mismo solicitaba para pagos. Como es lógico de entender, junto con pagar hacía que me firmaran recibos por el dinero entregado, su concepto y sello de la empresa. Desde hace unos dos años, nuestros sueldos se pagan una parte por transferencia bancaria y otra parte por fuera. De la parte por fuera, también hago recibos de pagos, sello de empresa y que me los firmen.
Siempre los dineros de pagos en efectivo han pasado por mis manos, en ocasiones me han hecho firmar lo que entregaban y la mayoría sólo era darme el dinero para pagos, es decir sin firmar nada. También sólo en ocasiones, me entregaban los recibos de cada uno para que los firmasen y devolviese las copias firmadas a la encargada de estos asuntos. La oficina de la cual dependemos está ubicada en otra dirección distinta a la carpintería, en ésta, recojo los dineros y entrego los recibos firmados.
En términos legales, es reconocible mi actuar como encargado teniendo que respaldarme de que he pagado los dineros recibidos?
Si solo he puesto sello de empresa en recibos y nóminas, estos documentos carecen de legalidad por no tener firma?
Puedo como encargado, además del sello de empresa firmarlos?
Agradecido de su respuesta,
Guillermo
Octubre 24th, 2010 a las 21:10
Guillermo: realmente el asunto que planteas tiene poca relación con la Ley de Protección de Datos y sería una imprudencia por mi parte cualquier respuesta. Deberías comentarlo con un asesor mercantil.
Noviembre 9th, 2010 a las 10:07
Saludos:
Tengo la siguiente duda. Quiero contratar un Servidor Privado Virtual con un ISP. Dentro de ese servidor virtual voy a montar un CRM con datos de carácter personal de empresas y personas.
Puesto en contacto con el proveedor, éste me indica que ellos no son para nada responsables del contenido que haya en los ficheros alojados en dicho servidor, ya que se supone que su tarea se limita a montarme el servidor virtual y darme las claves para administrarlo. De hecho, en el contrato que firmaría con el proveedor no se habla para nada de LOPD, en lo que respecta a los contenidos que puedan existir en el servidor.
Vale. Yo soy el responsable de los ficheros y yo inscribo los ficheros ante la AGPD, pero ¿Y el documento de seguridad? Yo no tengo ni idea de cómo tiene el ISP montada su estructura ¿Me remito ante la AGPD a indicar quién es el ISP y que en su web tiene explicado su manual de seguridad?; y otra cosa ¿Es realmente correcto que el ISP es del todo ajeno a lo que contenga el servidor virtual, o debería firmar algún tipo de contrato con ellos?
Gracias por adelantado.
Noviembre 9th, 2010 a las 21:11
Hola Adolfo, gracias por tu visita y comentario. El caso que comentas es más frecuente de lo que debería, porque lo cierto es que diga lo que diga el proveedor, resulta ser por su actividad un encargado de tratamiento de manual, con todas las consecuencias citadas en el artículo.
Hace un tiempo Felix Haro hizo un experimento solicitando información a varias empresas de hosting sobre el tema LOPD, y las respuestas fueron lamentables en general, como se puede ver en:
The Host (1ª parte) – The Host (2ª parte) – The Host (final)
Poco después yo repetí la prueba con empresas que ofrecían servicios incluídos dentro del llamado “Cloud computing”, con resultados similares:
Tus datos están por las nubes (1ª parte, incluye enlaces al resto de la serie)
De esta misma serie copio aquí esta conclusión:
Enero 30th, 2011 a las 17:53
Hola tengo instalados unos tpvs en mi negocio y estos envian la información a un servidor externo de un tercero donde archivan el historico de movimientos. Les he solicitado que me faciliten el acceso a los mismos y se niegan a hacerlo. Mi pregunta es si están actuando de forma correcta o por el contrario existe la obligación por parte de ellos de facilitarme dicho acceso y en caso de ser así en que falta estaría incurriendo. Gracias.
Enero 30th, 2011 a las 22:21
Elena: gracias por visitarnos y comentar. Tu pregunta resulta difícil de responder sin más información. Sería necesario conocer bien el procedimiento técnico de los tpv instalados y en especial el contrato que supongo dispondrás de relación con la entidad que te da el servicio financiero. Por otro lado también habría que saber qué tipo de “acceso” has solicitado.
En cualquier caso, para que pudieras acceder sin cortapisas a tal información, deberías ser lo que en LOPD se conoce como “responsable del fichero”, posición que te aseguro no te conviene en absoluto.
De todas formas hay que aclarar que todo el posible conflicto está en función exclusivamente de una posible consideración de los datos como de carácter personal, pero si solicitas exclusivamente posiciones financieras (digamos un listado con fecha y cifra de cada pago, sin ningún otro dato añadido), entonces entiendo que no puede haber ninguna razón para negar esa información.
Febrero 6th, 2011 a las 21:21
buenas tardes: tengo una duda sobre una comunidad de propietarios: los socios de una comunidad tienen derecho a saber lo que se les paga a los que trabajan dentro: jardineros, porteros etc..? o aqui se aplica la ley de proteccion de datos.
en otras palabras: en una reunion de propietarios, si yo soy presidenta y he decidido el sueldo de estas personas, si me preguntan los socios, debo decirles lo que cobran o puedo callarme bajo esa ley?
muy agradecida.
Febrero 6th, 2011 a las 23:06
Hola Araceli, gracias por visitarnos y preguntar.
Como copropietarios que son, los socios de una comunidad tienen perfecto derecho a conocer cualquier tipo de gasto que les afecte, incluido los salarios de los empleados. El límite que pondría la LOPD está en no proporcionar datos que vayan más allá de este derecho específico y puedan lesionar otros derechos a la intimidad. Por ejemplo partes de baja o cualquier otro dato de salud, etc.
Febrero 19th, 2011 a las 21:19
si se trata de una comunidad de propietarios,entiendo que el responsable es la comunidad. El encargado de tratamiento de los datos el administrador bien se trata de un colegiado administrador de fincas o un propietario. Entonces cada vez que cambies de administrador debes notificarlo a la agencia
Febrero 21st, 2011 a las 12:02
¿podemos saber si nuestro encargado de tratamiento cumple con la ley de proteccion de datos? Muchas gracias.
Febrero 21st, 2011 a las 13:06
Javi: lo que debes asegurarte es de tener firmado con ese encargado el contrato de tratamiento, donde se especificará el nivel de protección exigido por el responsable al encargado. Por tu propia cuenta puedes ver en la web de la AEPD si tiene los ficheros dados de alta, pero para ir más allá (comprobar su documento de seguridad, las medidas de seguridad instaladas en sus equipos, etc) necesitaras su necesaria cooperación (en función, lo más probable, del peso que tengas como cliente en su cuenta de resultados).
Febrero 21st, 2011 a las 14:02
Ya me han contestado el encargado de tratamiento de datos cada vez que cambie se debe comunicar como modificacion en el documento de inscripcion de ficheros de la Agencia.
Pero una pregunta, en el documento de seguridad de una comunidad de propietarios deben los propietarios dar su autorizacion para la utilizacion de los datos personales, entiendo que al ser utilizados para la propia gestion no seria necesario, salvo que fuera para otro tema no inlcuido dentro los afectos a la propia administracion (circulares, convocatorias, actas…)
Febrero 21st, 2011 a las 14:36
Cristina: efectivamente no es necesario un consentimiento expreso, ya que utilizar los datos de los vecinos para la correcta gestión del bien común está bajo el amparo de la Ley de Propiedad Horizontal, siempre y cuando no se salga efectivamente del marco de esta ley.
Febrero 21st, 2011 a las 14:55
y otra pregunta, si la comunidad solo dispone de datos de los propietarios y tiene una persona contratada, y hay morosos. Deberia considerarse nivel basico o medio. En caso de considerarse nivel medio , deberia realizarse auditorias cada dos años , supongo que bastaria internas realizando un control de las medidas de seguridad y adecuando el documento de seguridad o cual seria la forma correcta
Gracias por su respuesta
Febrero 21st, 2011 a las 15:24
Cristina: seguiría siendo nivel bajo, y no necesitaría pasar la auditoría.
Febrero 22nd, 2011 a las 12:00
Gracias por la respuesta me ha sido muy util, pero sigo teniendo una duda si la comunidad si la persona que lleva la administracion tambien se encarga de realizar la nominas y demas documentos relacionados deberia dar de alta este fichero o ya se consideraria incluida en la gestion de lo datos de comunidad de acuerdo con el fichero tipo
Gracias de antemano
Febrero 22nd, 2011 a las 13:07
Cristina: si la comunidad tiene empleados, los datos de estos no pueden ser parte del mismo fichero que los vecinos, ya que se trata de usos y finalidades distintos y por lo tanto deberán considerarse un fichero aparte y tener su propio registro en la Agencia Española de Protección de Datos.
Marzo 16th, 2011 a las 7:39
Buenas a todos.
En la empresa donde llevo 2 años, necesitan nombrar un responsable de Protección de Datos y necesitaria saber la responsabilidad legal que conlleva este puesto, ya sea ante una denuncia de terceros o con un problema en la gestion de los datos. Gracias
Marzo 16th, 2011 a las 8:13
Pedro: por paradójico que parezca (mala elección de la denominación) el Responsable de Seguridad no tiene ninguna responsabilidad ante la Agencia de Protección de Datos. Ante la AEPD el único responsable es lo que en la LOPD se denomina “entidad”, es decir la empresa, asociación, colegio profesional u organismo público responsable del fichero con datos personales.
Marzo 16th, 2011 a las 8:28
Gracias Jesus, la verdad es que tenia algo de reparo, porque el que me nombraran responsable fue bajo mi NO consentimiento, pero ahora mismo es imposible negarse a casi nada y mi preocupacion era hasta que punto me podia implicar en un caso de denuncia o irregularidad y mas aun sin tener un seguro de responsabilidad civil (yo persona física).
Marzo 16th, 2011 a las 10:09
Pedro: pues nada, tranquilo en ese sentido. Y ya que el nombramiento ha sido en contra de tu voluntad intenta aprovechar la situación, ya que el responsable de seguridad irá teniendo con el tiempo cada vez un papel más importante en cualquier empresa.
Marzo 17th, 2011 a las 17:50
Gracias Jesus. Me has sido de gran ayuda y por lo menos estoy algo mas tranquilo, ahora, lo que tu me dices, aprovechar y aprender algo nuevo, que nunca viene mal.
Gracias de nuevo!
Marzo 23rd, 2011 a las 19:26
Hola, quisiera, por favor, que me resolvierais una duda. Como asesoría, quiero firmar un convenio de colaboración con una empresa que se dedica a impartir cursos de formación, porque me gustaría ofrecer este nuevo servicio a mis clientes.¿Podría acceder esta empresa a mi base de datos de clientes para ofertarles los cursos en nombre de la asesoría? ¿Se infringiría la ley de protección de datos?
Marzo 23rd, 2011 a las 19:44
Hola Jesús: bienvenido y gracias por comentar.
Aunque podría haber algunos matices, la respuesta genérica es NO. Puesto que se trata de empresas con las que mantienes una relación comercial, tu asesoría sí está autorizada a enviar comunicaciones comerciales relacionadas con su actividad, pero no para ceder esos datos a un tercero.
Los matices son: los datos puramente empresariales no están afectados por la LOPD, aunque en el caso de los autónomos (que seguro tendrás algún cliente de este tipo) sí pueden caer bajo su ámbito. Por otro lado la LSSI no distingue entre datos de personas físicas o jurídicas, por lo que si la comunicación es de tipo electrónico (y el email es la herramienta más utilizada en estos casos) se necesitaría siempre consentimiento expreso para ceder el dato a un tercero. En resumen: la única opción segura y legal de cesión sería para un envío postal físico o una acción de telemarketing exclusivamente sobre personas jurídicas. Vaya, un lío, así que mejor olvidar esto, no arriesgarse y volver a la respuesta inicial: NO.
De todas formas, al margen de las cuestiones legales, tu mismo indicas “me gustaría ofrecer este nuevo servicio a mis clientes”, con lo que desde el punto de vista del marketing, si has verificado que se trata de una empresa seria que ofrece realmente un valor interesante en formación, deberías ser tú mismo quien comunicara ese acuerdo y sus ventajas a tus clientes y “apuntarte la medalla”.
Personalmente cuando firmo acuerdos de este tipo con asesores lo que hago es sentarme con ellos y ayudarles a redactar la comunicación correspondiente, de forma que estemos dentro de la LOPD, el asesor quede bien con sus clientes y yo me asegure que el mensaje tiene los suficientes impulsos comerciales como para tener un retorno. Win win se llama
Marzo 23rd, 2011 a las 22:17
Gracias por vuestra respuesta, pero estoy bastante interesado en esta idea. ¿Habría alguna formula para que la empresa dedicada a la formación accediera a los datos? Los cursos realizados no conllevan coste para mis clientes, ya que se descuentan de los seguros sociales, ademas les pueden ofrecer asesoramiento en microinformatica. ¿Se podría firmar un contrato de prestación de servicios? o ¿Un contrato que refleje una asociación entre ambos? En definitiva que aparezca la empresa como contratada nuestra. Gracias.
Marzo 23rd, 2011 a las 22:46
Jesús, habría dos formas:
1.- ceder datos exclusivamente de personas jurídicas, excepto el email, fax y cualquier otro medio electrónico
2.- obtener el consentimiento de los afectados
El hecho de que los cursos puedan ser bonificables no tiene ninguna relevancia en este asunto. Y evidentemente habría que firmar siempre el contrato en los términos que se describen en el artículo.
Julio 8th, 2011 a las 11:24
Buenos días.
Tengo una duda con respecto a esta ley. En una de las comunidades de propietarios a las que pertenezco el administrador nos pasa un recibo semestral de 60€ en concepto de aplicación de la LOPD, en las otras comunidades no nos lo cobran. ¿Corresponde a la comunidad de propietarios pagar estos gastos o debe correr por cuenta del administrador ya que tienen la obligación de cumplir con esta ley?
Muchas gracias y un saludo.
Julio 8th, 2011 a las 13:45
Hola Belén: el cumplimiento de la LOPD corresponde a las dos entidades: la comunidad de vecinos y el administrador de fincas, pero cada uno la suya. Exactamente igual que ocurre con el resto de obligaciones legales. seguros, IVA, etc…
Julio 8th, 2011 a las 20:11
Muchas gracias por tu ayuda. Un saludo.
Septiembre 22nd, 2011 a las 10:47
Buenos días.
este año nos toca de presidentes de la comunidad de vecinos y al poder ver las cuentas nos hemos enterado de que el administrador nos pasa recibos de 360€ mensuales en concepto de “protección de datos”. es normal que nos cobre tanto? se puede hacer?
cuando empezamos con él, nos dijo que sus honorarios serían de unos 150€ mensuales y ahora nos damos cuenta de este gasto (encima pasa los recibos bajo otro nombre, pero la dirección de la empresa es la misma que la suya).
tampoco empezaron a cobrarse estas facturas desde el inicio de su contrato, sino unos 6 meses después de empezar el mismo.
qué podemos hacer? además la comunidad muchas veces es´ta sin fondos y con pagos pendientes, mientras él cobra estas cantidades mensuales…
alguna solución??
se le puede ecigir que nos enseñe una copia del contrato que tiene con nuestra comunidad?
muchas gracias por su ayuda.
Septiembre 22nd, 2011 a las 10:56
Hola Anne: me haría falta más información para poder opinar, es que no entiendo muy bien la cifra ¿360€/mes? ¿por una sola comunidad? Realmente parece una barbaridad.
Sobre este tema hay una pregunta similar (y su respuesta) en los comentarios de otro post:
http://www.ayudaleyprotecciondatos.es/2010/05/06/dudas-sobre-administradores-de-fincas-y-comunidades-de-vecinos/comment-page-1/#comment-87
Septiembre 27th, 2011 a las 15:54
buenas tardes. tengo varias dudas sobre la normativa a cumplir de LOPD con mi empresa: recibimos llamadas de ciudadanos para informar de un servicio, estamos interesados en grabar las llamadas SOLO a efectos de controlar la calidad del servicio prestado.
¿deberiamos registrarnos en la AEPD?¿deberiamos informar que la llamada va a ser grabada?
gracias
Septiembre 27th, 2011 a las 16:00
Hola Marcos: respuesta breve: sí y sí.
En protección de datos la voz se considera un dato de carácter personal y por tanto su tratamiento configura un fichero (junto con el resto de datos que se asocien al cliente o contacto) que habrá de dar de alta en el registro General de Protección de Datos. Tenemos una serie sobre el procedimiento a seguir: http://www.ayudaleyprotecciondatos.es/tag/nota/
Por otro lado la consideración de dato personal obliga a cumplir las exigencias de la LOPD en recogidas de datos y habrán de informar a los llamantes de que la conversación va a ser grabada.
Septiembre 28th, 2011 a las 8:39
muchas gracias por tu respuesta Jesus. tenia mas o menos claro que era asi, pero hay ciertos detalles en los que tenemos muchas dudas y hemos pedido una aclaración directamente a la AEPD.
gracias de nuevo
Septiembre 30th, 2011 a las 11:38
Buenos días:
Tengo una duda. Soy Voluntaria de una Fundación. Me han nombrado encargada de tratamiento de un fichero y me han dado un docuemtno que he firmado para proteger los datos.
Me han dicho que no hace falta que me quede con copia. Tengo derechoa pedirla ya que lo he firmado? Que articulo de la ley me ampara para reclamar este derecho a tener copia del docuemtno que he firmado?
Gracias
un saludo
Septiembre 30th, 2011 a las 11:50
Hola Sylvia: ¿estás segura de que el concepto es “encargada del tratamiento”? Esa figura se refiere a cuando se tratan los datos por encargo del Responsable del Fichero, como por ejemplo la asesoría que hace las nóminas de una empresa o la agencia de marketing que prepara un mailing personalizado con los datos de los clientes.
Por otro lado por supuesto que tienes derecho a tener una copia de algo que has firmado, pero no porque lo diga la LOPD, es un criterio básico del derecho.
Octubre 10th, 2011 a las 20:59
Hola, mi hermandad ha decidido ceder los datos de todos los hermanos sin la autorizacion de estos a una empresa para cobrar a domicilio las cuotas de la misma.
En ese listado hay menores de edad, esos ficheros contienen ideologia ya que de por si el ente que ha encargado el servicio es religioso.
¿Es legal ceder todos estos datos sin consentimiento?¿en caso de ser asi como podemos denunciar este hecho?¿a quien se deberia denunciar a la junta rectora de la hermandad o a la propia hermandad<'
Octubre 10th, 2011 a las 21:29
Hola Abel: para poder responder con propiedad debería leer la cláusula de consentimiento en la que se haya informado a cada hermano en el momento de la toma de datos.
En principio hay que tener en cuenta que la LOPD autoriza en la figura del Encargado del Tratamiento este tipo de entrega de datos cuando son necesarios para externalizar trabajos profesionales por cuenta del Responsable del Fichero. El ejemplo más clásico es el de la empresa que entrega los datos de sus empleados a la gestoría o asesoría que le prepara las nóminas.
Eso sí, para que todo esté dentro del marco de la ley resulta imprescindible la existencia y cumplimiento del preceptivo contrato de tratamiento de datos que se expone en este artículo.
Octubre 26th, 2011 a las 9:08
Hola buenos días:
Tengo una duda: Si una gestoría administrativa realiza la gestión de las notas simples a un banco, debería firmar el contrato de acceso a datos con el mismo, pero el detalle es que la gestoría factura a nombre del cliente del banco, por lo que ¿debería informar de algun modo al cliente de ese tratamiento? y ¿ quien de los dos?Es el banco el que le solicita los datos al cliente así que entiendo que sería él el que debería informarle pero ¿la gestoría debería hacer algo más? Muchas gracias
Octubre 26th, 2011 a las 9:59
Carolina: si la gestoría factura al cliente, entonces es responsable del fichero (si facturara al banco sería encargada del tratamiento) y por tanto deberá obtener el consentimiento del cliente e informarle de todos los extremos señalados por la LOPD.
Respecto al procedimiento a emplear, excede las posibilidades de un comentario, habría que estudiar cómo se produce el proceso de toma de datos, qué documentación entrega el banco a la persona, etc…
Octubre 26th, 2011 a las 10:49
Muchas gracias Jesús.
La gestoría está intentando facturar al banco en lugar de al cliente. De momento en sus facturas advierte al cliente de los extremos de la LOPD, pero no puede informarle de otro modo porque no tiene relación con él. ¿ Sería suficiente con el aviso de las facturas? y otra duda, si es cosiderada como responsable,¿ no tiene que firmar el contrato de cesion con el banco?
Octubre 26th, 2011 a las 10:50
Buenas, gracias por tu respuesta, te comento que en la inscripción de mi hijo que se realizo hace 2 años, no hay clausula alguna referente a cesión de datos y en la mia que se hizo hace más de 30 tampoco.
¿Sería lega lentonces?
Octubre 26th, 2011 a las 11:10
Abel: como te decía, la entrega de los datos dentro de un marco estrictamente profesional (como es realizar una gestión de cobro) no necesitaría un consentimiento expreso, lo que sí es imprescindible es la realización del contrato de tratamiento entre las partes. Ahí es donde el asunto se complica debido al carácter especialmente protegido de los datos relacionados con la religión. Por ejemplo la empresa que recibe los datos para su gestión está obligada a protegerlos con el mismo nivel de seguridad exigido, en este caso alto. Este hecho debe exigirse en el contrato y luego cumplirse de verdad.
Este y algunos otros aspectos son los que deberían revisarse para comprobar la legalidad de lo que expones, y no tanto la cláusula firmada en la recogida de datos.
Octubre 26th, 2011 a las 11:12
Carolina: desde luego el contrato de tratamiento de datos entre las partes debe existir en una situación como la que describes. Luego habría que actuar en función de las instrucciones que se indiquen en tal documento.
Así por ejemplo podría existir un documento de recogida de datos que identificara a ambos responsables del fichero, o el banco podría entregar dos documentos al cliente, etc…