Novedades LOPD: Acceso a los datos por cuenta de terceros

La entrada en vigor el pasado mes de Marzo de la Reforma del Régimen Sancionador de la Ley Orgánica de Protección de Datos(LOPD) supuso que se añadiera una nueva infracción, concretamente se trata de comunicar o transmitir datos personales a terceros que se van a encargar de prestarnos un servicio y esta relación no esté contemplada en un contrato.

En el momento en el que os adecuan o revisan vuestra empresa de acuerdo a esta normativa, se elaboran una serie de contratos con esos terceros que os prestan un servicio y acceden a vuestros datos. Es muy importante que comprobéis que dichos contratos están firmados por ambas partes. En caso de que no fuese así, agilizad la firma de los mismos.

Algunas de las empresas o profesionales que pueden prestaros servicio y acceder a vuestros datos personales son asesorías, abogados, empresas de seguridad, empresas de mantenimiento informático de equipos y aplicaciones (acceso remoto en algunos casos), empresas que gestionan las normas de calidad, etc...

Con todas ellas debéis elaborar el ya comentado contrato de acuerdo al artículo 12 de la Ley 15/99 que transcribimos a continuación:

Artículo 12 LOPD. Acceso a los datos por cuenta de terceros

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente

Más info: 

Juan José Peña Pozo

Master en Protección de Datos por la U.N.E.D

Miembro de la Asociación Profesional Española de Privacidad 

Teléfono/ fax 958 958 618 

www.evaluaconsultores.com