Si en el anterior post veíamos, someramente, cómo determinar si estamos ante accesos por cuenta de terceros o una cesión de datos, hoy vamos a describir las obligaciones derivadas en cada caso:
1. Acceso a datos por cuenta de terceros:
En los casos de acceso a datos por cuenta de terceros, la Ley Orgánica de Protección de Datos nos obliga a la firma de un contrato por escrito. Para acreditar su celebración y contenido, dicho contrato deberá contener los siguientes extremos (art. 12 de la LOPD):
a. Que el encargado de tratamiento sólo realizará el tratamiento de los datos de carácter personal conforme a las instrucciones del responsable del fichero.
b. Que no utilizará ni aplicará los datos de carácter personal con fines distintos a los que figuren en contrato. Si no se cumpliese esta estipulación, la propia normativa indica que el encargado de tratamiento será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.
c. Que nos los comunicará, ni siquiera para su conservación, a otras personas. En este punto nos podemos preguntar ¿esto quiere decir que no se puede subcontratar?Para saberlo debemos recurrir al artículo 21 del RDLOPD. En resumen, el precepto establece que a priori el encargado de tratamiento no podrá subcontratar sin que el responsable del fichero se lo hubiera encomendado. Las excepciones :
i. que el primero obtenga el consentimiento del segundo.
ii. que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.
d. Qué medidas de seguridad se deben cumplir atendiendo a la tipología de datos a tratar. En este punto nos gustaría indicar que tal y como ha manifestado la propia Agencia Española de protección de datos: «no basta con una mera referencia al nivel de medidas a satisfacer, deben definirse las condiciones de seguridad concretas«, es decir, en el contrato deberán estar detalladas todas y cada una de las concretas medidas de seguridad a adoptar.
Y por último:
e. Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero. A este respecto, existe la excepción establecida en el artículo 22 del RDLOPD 1720/200 «No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación (…) en este caso, el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.»
En un próximo artículo, además de hablar de las obligaciones que existen ante una cesión de datos, hablaremos de la validez de los contratos, en materia de protección de datos, celebrados a distancia.
Continúa aquí.