Skip links
Cumplir la LOPD

Cumplir la LOPD en Prestaciones de Servicios

Contrato de tratamiento de datos por cuenta de terceros ¿Qué es y qué pasa si no lo firmo?. Existe una obligación formal que establece la LOPD en ...

Contrato de tratamiento de datos por cuenta de terceros ¿Qué es y qué pasa si no lo firmo?

Existe una obligación formal que establece la LOPD en su artículo 12, que es regular en un contrato por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, el acceso a los datos por parte de terceros para que estos posteriormente realicen un tratamiento sobre ellos en el marco de una relación de prestación de servicios.

Hay que tener en cuenta que se debe hacer cuándo nosotros somos los clientes, pero también cuando somos los proveedores. El caso es regularizar la comunicación de los datos entre las partes, para que el intercambio de información sea conforme a la ley.

Para ver la razón de la obligación, es necesario remitirse a la L.O. 15/99 de Protección de Datos de Carácter Personal, más conocida como LOPD.

Puntos clave de la LOPD

  1. Art. 6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  2. Art. 7.3 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
  3. Art. 11.1 Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  4. Art. 12.1 No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

La ley es clara, solo se pueden tratar o comunicar los datos, si tenemos el consentimiento del afectado. En este sentido, el contrato de tratamiento de datos por cuenta de terceros, es una estupenda herramienta para comunicar datos durante una relación de prestación de servicios, sin tener que interrumpir la fluidez de la comunicación a expensas de obtener el consentimiento individual de los afectados.

La obligación de la firma de este contrato, aparece en el art. 12 de la LOPD. Un artículo dedicado por completo a este recurso, en el que se aprecia no solo la obligación de regular el acceso a los datos, sino que también establece cómo debe hacerse, y el contenido mínimo que debe tener.

Apreciemos más de cerca el contenido del Artículo 12 LOPD

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Responsable del tratamiento y al Encargado del tratamiento. ¿Pero quién es quién?

En Dataseg respondemos a esta pregunta continuamente ya que suele ser motivo de confusión.

Responsable del tratamiento

El responsable del tratamiento es el titular del fichero. Usando la definición rápida de la AEPD para sus resoluciones diremos que,

“…Conforme al artículo 3.d) el responsable del fichero o del tratamiento es “la persona física o jurídica (…) que decida sobre la finalidad, contenido y uso del tratamiento”

Encargado del tratamiento

Se denomina encargado del tratamiento a los prestadores de servicio con acceso a los datos. Así, según la AEPD. en sus resoluciones,

“…Conforme al artículo 3.g), es “la persona física o jurídica (…) que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”

Posibles Infracciones

En caso de no cumplir con esta obligación, podemos ser sancionados por la Agencia Española de Datos (AEPD).. Estas son las posibles infracciones de la LOPD:Art. 44.2. leves 900 a 40 mil €

d – La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Art. 44.3 Graves 40.001 a 300mil

b – Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

d – La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

k – La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

El cumplimiento de esta formalidad puede evitar una sanción económica importante para los encargados y responsables de ficheros. Por destacar, muchas veces es el único documento que sienta las bases sobre la titularidad de los ficheros, así como las obligaciones y deberes que tienen los prestadores de servicios sobre los datos a los que tienen acceso, y que tratan a nombre de sus clientes.

Para verlo más claramente nos remitimos al mismo artículo 12, en su apartado 4, que dice:

Art. 12.4“…En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

Conclusión

Este contrato es es una formalidad exigida de la ley, una obligación expresa y con indicaciones claras sobre su cumplimiento. Además, es herramienta que usada correctamente, representará beneficios a corto y largo plazo entre las partes. Decía mi abuela: “Las cuentas claras y el chocolate espeso”.

Leave a comment

  1. WhatsApp, LOPD y empresas. 5 Claves para cumplir - Dataseg
    Permalink