Entradas

Cumplir la LOPD en Prestaciones de Servicios

, ,

Contrato de tratamiento de datos por cuenta de terceros ¿Qué es y qué pasa si no lo firmo?

Existe una obligación formal que establece la LOPD en su artículo 12, que es regular en un contrato por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, el acceso a los datos por parte de terceros para que estos posteriormente realicen un tratamiento sobre ellos en el marco de una relación de prestación de servicios.

Hay que tener en cuenta que se debe hacer cuándo nosotros somos los clientes, pero también cuando somos los proveedores. El caso es regularizar la comunicación de los datos entre las partes, para que el intercambio de información sea conforme a la ley.

Para ver la razón de la obligación, es necesario remitirse a la L.O. 15/99 de Protección de Datos de Carácter Personal, más conocida como LOPD.

Puntos clave de la LOPD

  1. Art. 6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  2. Art. 7.3 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
  3. Art. 11.1 Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  4. Art. 12.1 No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

La ley es clara, solo se pueden tratar o comunicar los datos, si tenemos el consentimiento del afectado. En este sentido, el contrato de tratamiento de datos por cuenta de terceros, es una estupenda herramienta para comunicar datos durante una relación de prestación de servicios, sin tener que interrumpir la fluidez de la comunicación a expensas de obtener el consentimiento individual de los afectados.

La obligación de la firma de este contrato, aparece en el art. 12 de la LOPD. Un artículo dedicado por completo a este recurso, en el que se aprecia no solo la obligación de regular el acceso a los datos, sino que también establece cómo debe hacerse, y el contenido mínimo que debe tener.

Apreciemos más de cerca el contenido del Artículo 12 LOPD

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Responsable del tratamiento y al Encargado del tratamiento. ¿Pero quién es quién?

En Dataseg respondemos a esta pregunta continuamente ya que suele ser motivo de confusión.

Responsable del tratamiento

El responsable del tratamiento es el titular del fichero. Usando la definición rápida de la AEPD para sus resoluciones diremos que,

“…Conforme al artículo 3.d) el responsable del fichero o del tratamiento es “la persona física o jurídica (…) que decida sobre la finalidad, contenido y uso del tratamiento”

Encargado del tratamiento

Se denomina encargado del tratamiento a los prestadores de servicio con acceso a los datos. Así, según la AEPD. en sus resoluciones,

«…Conforme al artículo 3.g), es “la persona física o jurídica (…) que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”

Posibles Infracciones

En caso de no cumplir con esta obligación, podemos ser sancionados por la Agencia Española de Datos (AEPD).. Estas son las posibles infracciones de la LOPD:Art. 44.2. leves 900 a 40 mil €

d – La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Art. 44.3 Graves 40.001 a 300mil

b – Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

d – La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

k – La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

El cumplimiento de esta formalidad puede evitar una sanción económica importante para los encargados y responsables de ficheros. Por destacar, muchas veces es el único documento que sienta las bases sobre la titularidad de los ficheros, así como las obligaciones y deberes que tienen los prestadores de servicios sobre los datos a los que tienen acceso, y que tratan a nombre de sus clientes.

Para verlo más claramente nos remitimos al mismo artículo 12, en su apartado 4, que dice:

Art. 12.4“…En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

Conclusión

Este contrato es es una formalidad exigida de la ley, una obligación expresa y con indicaciones claras sobre su cumplimiento. Además, es herramienta que usada correctamente, representará beneficios a corto y largo plazo entre las partes. Decía mi abuela: “Las cuentas claras y el chocolate espeso”.

/1 Comentario/por

Suplantación de identidad para la contratación de servicios de Telecomunicaciones

La suplantación de identidad para contratar servicios de telecomunicaciones (contratar líneas telefónicas, servicios de televisión por cable o incluso compra de móviles y tablets) es cada vez más habitual, tanto que en marzo de este año la Agencia Española de Protección de Datos –en adelante AEPD-, ha firmado un acuerdo con las asociaciones de consumidores con el fin de concienciar e informar a los usuarios sobre sus derechos y acciones para defenderlos.

Este acuerdo se entiende aún mejor cuando echamos un vistazo a la memoria de la AEPD correspondiente al año 2015 y que fue presentada finales del mes de junio (2016). En esta memoria vemos como las denuncias y consultas que recibió la citada agencia por este motivo, se incrementaron de forma notable.

En la nota de prensa que publicó aquí (https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_06_20-ides-idphp.php ) destacamos “…Uno de cada tres afectados denunció ante la AEPD cuestiones relacionadas con el ámbito de la morosidad, en particular la inclusión en ficheros comunes, la reclamación de deudas impagadas o la contratación irregular en servicios ofrecidos por operadores de telecomunicaciones, entidades financieras o compañías energéticas…”.

En este post nos gustaría ampliar la información de los lectores sobre la suplantación de identidad como tal, qué es, cómo lo hacen y qué podemos hacer si somos victimas de este tipo de delitos.

 

¿Qué es suplantar la identidad de otro?

En primer lugar hay que definir qué es realmente la suplantación de identidad, y para ello podemos usar la jurisprudencia sentada por el Tribunal Supremo en distintas ocasiones en la que pone como requisito indispensable no solo apropiarse del nombre y datos de una persona, sino usar esos datos para hacerse pasar por esa persona y suplantar su estado civil y familiar, y disfrutar con ello de sus derechos y beneficios.

La última parte es justamente la clave “La suplantación se debe llevar a cabo con el fin de disfrutar y usar los derechos de la persona sustituida”

 

¿De dónde se sacan los datos para hacerlo?

Los datos necesarios para contratar a distancia un servicio en nuestro nombre, son los básicos: Nombre, dirección, DNI, cuenta bancaria. Es fácil conseguirlas si no somos cuidadosos.

En primer lugar, de terceros con los que tenemos una relación comercial, laboral, social, etc. Hoy en día nuestros datos están en muchas manos – proveedores de servicios/productos, EL trabajo, el colegio de los niños, la peluquería, el abogado, etc.- y si una de ellas no cumple su deber de protegerlos pues los “interesados” podrán hacerse con ellos muy fácilmente.

En segundo lugar, y quizá la forma más habitual en que un estafador o un ciberdelincuente consiga nuestros datos es a través de nosotros mismos. En este sentido, las formas típicas son:

  1. Publicación de datos en internet. Los usuarios no somos conscientes de la cantidad ingente de datos que subimos a internet, y de lo mucho que nos exponemos. Por ejemplo, cuando alguien publica una foto de su pasaporte nuevo, o de una entrada a un evento que tiene nuestros datos, una foto de una carta que tiene nuestros dato.
  2. Cuando no destruimos documentos que contienen nuestros datos antes de tirarlos a la basura, por ejemplo los extractos bancarios, cartas, publicidad personalizada, etc.
  3. Cuando nos llaman al teléfono y sin confirmar la identidad del llamante le damos nuestros datos.
  4. Cuándo perdemos la cartera, un documento, etc. (Hay que denunciar enseguida, por si alguien hace uso de esos documentos poder demostrar que no fuimos nosotros)

 

¿Cómo alguien puede suplantarme en la contratación de estos servicios?

En el caso particular de los servicios de telefónica y asociados, para contratar a distancia (online y telefónicamente) solo se requieren los datos básicos de la persona: nombre, DNI, una dirección y una cuenta bancaria. Muchas veces ni siquiera piden datos adicionales de contacto.

Las operadoras tienen la obligación de confirmar la identidad de las personas, cada uno es titular de sus datos y del derecho a la protección de datos, así que antes de tratar los datos de un usuario debe tener su consentimiento, aquí es donde entra en juego la AEPD y por lo que los afectados acuden a ella.

 

¿Qué consecuencias tiene para la persona suplantada?

A partir de la contratación irregular, salvo que al empresa que ofrece el servicio se movilice de forma correcta para confirmar los datos aportados por el contratante irregular, la persona que ha sufrido la usurpación de identidad se verá envuelta en un bucle de cobros indebidos y reclamaciones de deuda que pueden terminar en su inclusión en ficheros de morosidad (solvencia patrimonial y crédito).

 

¿Qué hago si alguien me ha suplantado para este fin?

Si se encuentra que han suplantado su identidad para realizar la contratación irregular de un servicio, los pasos a seguir están claros:

  1. Denunciar ante la Policía Nacional o la Guardia Civil.
  2. Llamar a la empresa prestadora del servicio, indicar su posición y facilitar la información referente a la denuncia.
  3. Si como consecuencia de la suplantación la empresa en cuestión le reclama el pago de una deuda, el afectado puede reclamar ante: las Juntas Arbitrales de Consumo, Autoridades de consumo autonómicas, y/o a la Oficina de Atención al Usuario de Telecomunicaciones.
  4.  En caso de haber sido incluido en un fichero de solvencia patrimonial y crédito (morosos) bien porque se ha negado a pagar la deuda reclamada por este motivo, o bien porque ni siquiera tuvo constancia de la misma, deberá contactar con la empresa que le reclama la deuda y solicitar el derecho de cancelación.
  5.  En caso de que pese a la insistencia la empresa mantenga el registro en el fichero de morosidad, puede dirigirse al responsable del fichero y facilitar la documentación relativa a los puntos 1, 2 y 3.
  6. También es posible acudir a la AEPD y denunciar la suplantación de su identidad. Deberá presentar todos los datos relativos al caso.

Recuerde

  1. Guardar los datos y referencias de las reclamaciones, sean telefónicas, por correo o a través de chat.
  2. Adjuntar copia de las facturas objeto de la denuncia o reclamación.

 

¿Esa suplantación es un delito? Cómo está tipificado y qué consecuencias tiene?

La suplantación de identidad, con ese nombre como tal no está en el código penal español, pero claro que es delito y se encuentra en el artículo 401, como: “El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años”

A modo de resumen hay que destacar que hacer una llamada telefónica y contratar un servicio es muy fácil y los estafadores lo saben. Está en nuestra mano ponérselo difícil cuidando nuestra información y manteniéndonos alerta para identificar en el menor tiempo posible cualquier evento que pueda afectarnos.

 

Escúchanos en la Radio

Este fue el tema que tratamos en el espacio “Internet en familia” en el Hoy por Hoy Tenerife de la emisora Radio Club SER Tenerife, el pasado 11 de abril de 2016. En el siguiente enlace, a partir del minuto 31:47 podréis escuchar nuestra participación. Escuchadla, estamos seguros que os resultarán de mucha utilidad.

 

 

/0 Comentarios/por