• 23 enero, 2013

Si externaliza parte de su gestión es obligatorio el contrato de tratamiento de datos personales

El artículo 12 de la LOPD impone a toda empresa, profesional y organización privada la celebración de un contrato de tratamiento de datos cuando el proveedor preste servicios que impliquen el acceso a datos personales. En estos casos, la prestataria se convierte en lo que legalmente se denomina “Encargada de tratamiento” y la define como toda “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

Casos típicos podrían ser, por ejemplo, la externalización de la gestión de la contabilidad, la fiscalidad y las nóminas de una empresa en una asesoría externa pues la gestoría tiene que acceder necesariamente a los datos personales de empleados y, en su caso, clientes y proveedores para prestarle dichos servicios; la utilización de servicios de reparación informática son otro caso típico porque se le entrega a la empresa que arregla el equipo informático un dispositivo que normalmente llevará datos personales en sí mismo (Salvo que sea el cliente de un servidor y carezca de datos almacenados o estén encriptados), la realización de un proyecto de consultoría que exige el acceso a datos personales de los empleados y clientes o la utilización de servicios de telesecretariado o call center. No entrarían en este supuesto las prestaciones de servicio por cuenta de tercero sin acceso a datos como podría ser el suministro eléctrico o el de las operadoras de teléfono.

La celebración de este contrato de tratamiento de datos personales es obligatoria si no se quiere incurrir en una cesión ilícita de datos sancionable por la AEPD.

¿Se considera celebrado el contrato de tratamiento de datos personales exigido por la LOPD por el mero hecho de tener un acuerdo o contrato comercial con el proveedor?. Claramente, NO. Tener una iguala contratada con la asesoría mediante un acuerdo que no contemple las exigencias del artículo 12 de la LOPD se considera insuficiente y es calificable como sanción por la AEPD. Ahora bien, un contrato comercial que incluya dichos extremos como contrato anexo al principal o bien como cláusula específica con las menciones legales sí será válido y exonera de cualquier sanción pues no habrá infracción por cesión ilegal. Otros casos típicos que puede necesitar su organización.

Protección de datos personales, privacidad

Entre las cláusulas que exige la Ley para celebrar correctamente el contrato de tratamiento de datos personales deben constar que el proveedor:

  1. Actuará sujeto a las instrucciones del responsable de los datos;
  2. Destinará los datos solamente a las finalidades previstas en el contrato y no a otras nuevas;
  3. Está o no autorizado a subcontratar, para qué y con quién;
  4. No aplicará los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Se considera que existe cesión ilegal de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el titular de los datos*.
  5. Al terminar la relación comercial, los datos deberá destruir los datos o devolverlos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento (Salvo que se aplique otra disposición legal que lo impida).
  6. Deberá adoptar las medidas de seguridad a que está sujeto por la LOPD.

En ningún caso servirá un acuerdo verbal en este sentido. La forma escrita del contrato es fundamental. No realizar este contrato es una conducta de riesgo para las personas físicas y jurídicas sujetas a su cumplimiento. Es la diferencia entre una cesión legal o ilegal, sancionable o no, de datos personales. Las sanciones pueden variar desde 900 euros hasta varios cientos de miles de euros según el caso. La AEPD sanciona habitualmente con multas que oscilan entre los 40.000 y los 60.000 euros.

* Por ejemplo, una asesoría que gestiona nóminas a una empresa contacta a los empleados de ésta para anunciarles de que disponen de un nuevo servicio que les va a encantar. En este caso, aunque hubiera un contrato de tratamiento entre la empresa cliente y el proveedor, éste ha establecido un nuevo vínculo no autorizado en aquel contrato con los titulares de los datos: los trabajadores. Bastaría con que la asesoría fuera denunciada por un empleado para que fuera sancionada. Si además no existiera siquiera el contrato de tratamiento de datos la conducta de la empresa cliente también sería sancionable por cesión de datos de sus trabajadores sin consentimiento de éstos.

Si no tiene hechos los contratos de tratamiento de datos podemos asesorarle, llámenos al 91 445 03 07

Obligación de un contrato de tratamiento de datos | UCELAY Bufete de Abogados Mercantiles en Madrid

Consulte

91 445 03 07