Encargados de tratamiento

La LOPD define al encargado de tratamiento en su artículo 3.g) como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Concepto que tiene que ser puesto en relación con el artículo 12 de la propia LOPD:
Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Por ponerte un ejemplo real, un encargado de tratamiento o tercero con acceso a datos es por ejemplo tu asesor laboral –si lo tienes- cuando te presta el servicio de confección de nóminas, seguros sociales, contratos laborales… También lo sería tu asesor fiscal, cuando le haces entrega de tus facturas para que te haga las correspondientes liquidaciones e impuestos, o te lleve la contabilidad. Tanto uno como otro te están prestando un servicio de asesoramiento y gestión y para ello acceden a los datos de tus empleados o de tus facturas, porque lo necesitan para prestarte el servicio encomendado.
La Ley exige que este tipo de relación se rija por ciertos elementos, como su constancia por escrito o –algo muy importante- que se indiquen las medidas de seguridad que se tienen implantadas. Esto último significa que si tu asesor fiscal no está adaptado a la LOPD no puedes contratarlo, porque la Ley te exige que tú veles porque él cumpla con la normativa.
Es una cuestión que habitualmente se pasa por alto y que luego puede dar lugar a sanciones muy serias. Y te aseguro que la Agencia Española de Protección de datos no se va a dar por satisfecha porque le argumentes que en el contrato, el encargado de tratamiento declara tener implantadas todas la medidas de seguridad reglamentarias.
Así no te libras.

Deja una respuesta