¿Las empresas dedicadas a la destrucción de documentos responden a la figura de encargado del tratamiento o se convierten en responsables del mismo cuando se contrata con ellas un servicio?
A esta cuestión contesta la Agencia Española de Protección de Datos (AEPD) a través del Informe 227-2010 de su Gabinete Jurídico.
Acudiendo a las definiciones legales encontramos que el artículo 3 d) de la Ley Orgánica de Protección de Datos (LOPD) define al responsable del fichero como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Por su parte, el artículo 3.g) de la misma Ley define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.”
Por lo tanto, la condición de responsable o encargado del tratamiento se delimita en virtud de la capacidad de decisión sobre la finalidad, contenido o uso del tratamiento que ostentará el responsable, no correspondiendo dicha potestad al encargado, habida cuenta del hecho de que el mismo se limitará a actuar en virtud de las instrucciones conferidas por el responsable del tratamiento.
Así tendríamos que la empresa de destrucción documental se situaría en la posición de encargada del tratamiento, pero la AEPD añade en el informe que para que la relación entre responsable y encargado del tratamiento pueda darse y se ajuste a la Ley, es preciso que se cumplan los requisitos expresados en el artículo 12 de la LOPD, considerando los siguientes aspectos:
- En primer lugar, es preciso que el acceso a los datos por el tercero (en el presente caso por la empresa prestadora del servicio de destrucción de documentos) se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.
- En lo que atañe a los requisitos formales de este tipo de contratos, el artículo 12.2 de la Ley Orgánica 15/1999 impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.
También se indica una advertencia: en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.
Evidentemente, en lo que se refiere a las medidas de seguridad que hayan de ser adoptadas por la empresa de destrucción documental serán las mismas que las impuestas al responsable del fichero, tal y como se indica en los artículo 9 y 12.2 de la LOPD.
En resumen, en aquellos supuestos en que se contrate un servicio de destrucción de documentos, resultará responsable del tratamiento la empresa o entidad que contrate dicho servicio, respondiendo la empresa prestadora del servicio contratado a la figura de encargado del tratamiento.
Finalmente el informe recuerda el artículo 83 del Reglamento de desarrollo de la LOPD establece una cautela para el supuesto de prestaciones de servicios sin acceso a datos personales, exigiendo que el responsable del fichero o tratamiento “limite el acceso a datos o a los soportes que los contengan o a los recursos del sistema de información” al personal que preste dicho tipo de servicios. En particular, si se trata de personal ajeno a la empresa o entidad a quien se le prestan el servicio, dispone que “el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.” En consecuencia, cualquier prestación de servicios a un tercero, aun cuando no conlleve el acceso a datos personales contenidos en los ficheros de éste, requiere que se proceda en la forma establecida en dicho precepto.
Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss
Julio 20th, 2010 a las 13:55
[...] Fuente:http://www.ayudaleyprotecciondatos.es/2010/07/20/condicion-de-encargado-del-tratamiento-de-empresa-c… 0.000000 0.000000 [...]
Julio 23rd, 2010 a las 20:11
Se me plantea una duda seria con las empresas que prestan el mal llamado servicio de “destrucción In Situ”, porque en realidad es “destrucción en la calle”. Se trata de empresas que carecen de una PLANTA DE DESTRUCCIÓN apropiada próxima al cliente, y ofrecen una destructora itinerante que ejecuta el servicio EN LA CALLE: sin las mínimas medidas de privacidad o seguridad, compartiendo el “escenario” con peatones, curiosos, o malhechores…
¿Quién es el Responsable del fichero, mientras la documentación espera EN LA ACERA a ser triturada en el camión?: ¿El anterior responsable del fichero (cliente)?, ¿la empresa contratada?, ¿el ayuntamiento (está en la calle)?, ¿el señor que pasa por allí y coge unos papeles del suelo?… Cobertura Nacional, no significa que los vehículos de la empresa puedan circular por todo el territorio nacional, sino que se cuenta con infraestrucura en toda la geografía Nacional, y eso parece que por el momento no lo tiene ninguna empresa del sector. Lo más parecido a una correcta “destrucción In Situ”, sería una correcta destrucción, en una planta CERRADA y apropiada, próxima al “sitio” donde se genera la documentación, y evitando largos desplazamientos arriesgados e innecesarios.
Julio 23rd, 2010 a las 20:45
Gracias Javier por visitarnos y comentar. Reconozco que no conocía este tipo de destrucción “callejera” y por tanto no me atrevo a opinar, tendría que saber más sobre sus procedimentos, pero en cualquier caso seguro que dejar la documentación en una acera es una vulneración de la LOPD, lo que habría que ver en función del contrato que se firme es quién sería responsable.
Agosto 10th, 2010 a las 17:41
Respecto al comentario de Javier, deciros que la destrucción in situ es la forma más confidencial que una empresa puede destruir la documentación, ya que la unidad móvil se traslada a las dependencias del cliente y, a la vista de la persona encargada de ello, ve la destrucción de sus datos, sin innecesarios desplazamientos del personal de la empresa contratante, y observando la correcta destrucción, cosa que las empresas de destrucción en planta podrían vulnerar este hecho, ya que la mayoría de las empresas que contratan este servicio no tienen tiempo de traslados innecesarios de su personal y por ese hecho esos “datos” podrían no ser destruidos y comercializarse con ellos para conseguir mayor valorización de este residuo, como todos sabemos.
Decir que las empresas in situ dejan la documentación en la calle me parece una barbaridad, porque destruyen en el mismo momento de la recogida, y nunca dejan la documentación a la vista de nadie y tienen todas las medidas de seguridad necesarias, cosa que en algunas de destrucción en planta se podría cuestionar.
Junio 2nd, 2011 a las 15:14
Me podrian decir que documentación o requisitos deben de poseer las empresas dedicadas a la destrucccion de documentos.Gracias
Junio 2nd, 2011 a las 15:23
Estimado Salvador: si se refiere a requisitos desde el punto de vista LOPD… pues ninguno, excepto lógicamente el cumplimiento de dicha ley. Al igual que en la actividad de consultor, no hay certificación ni homologación que valide el trabajo ni de destrucción ni de consultoría.