Una de las obligaciones establecidas por la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de desarrollo (RLOPD) es la de regular el acceso a datos efectuado por aquellos terceros distintos del responsable del fichero.
Este tipo de acceso a datos por un tercero no se considera como una comunicación de datos, es decir, como una cesión, siempre y cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
En primer lugar, es necesario conocer que se entiende por tercero con acceso a datos o lo que es lo mismo, por “encargado del tratamiento”, término utilizado en las normativas citadas anteriormente.
El RLOPD define esta figura como: “La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”
Por tanto, un encargado del tratamiento es todo aquel que nos presta un servicio y por ello tiene o puede tener acceso a datos personales titularidad de nuestra empresa. Día a día las entidades trabajan con multitud de terceros que para prestarles un servicio acceden o pueden tener acceso a datos de su titularidad como puede ser la gestoría que elabora las nominas de sus empleados, las empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos, empresas de almacenamiento externo y destrucción de documentación, etc…
Con todas ellas, será necesario suscribir un contrato en el que se regule el tratamiento que estos terceros van a realizar de nuestros datos (elaboración de nóminas en el caso de una gestoría, etc). Este contrato establece las siguientes obligaciones para el encargado del tratamiento:
- Tratar los datos conforme a las instrucciones del responsable del tratamiento.
- No utilizarlos con un fin distinto al estipulado en el referido contrato, ni comunicarlos ni siquiera para su conservación a otras personas.
- Cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos.
- Si el encargado destina los datos a otra finalidad o incumple las estipulaciones del contrato, será considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, si el encargado comunica los datos a un tercero designado por el responsable del tratamiento, previa comunicación del responsable, no incurriría en responsabilidad.
- No podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo.
Respecto a este ultimo punto, es necesario señalar que podrá realizarse la subcontratación sin autorización del responsable siempre que se cumplan tres requisitos:
- Estar especificado en el contrato cuales son los servicios que pueden ser objeto de subcontratación.
- El tratamiento efectuado por parte del subcontratista debe ajustarse a las instrucciones del responsable del fichero.
- El encargado de tratamiento y la empresa subcontratista deben suscribir un contrato en el cual ésta última será considerada encargada del tratamiento.
Por otro lado, es necesario tener en cuenta los lugares en los cuales el encargado del tratamiento puede prestar sus servicios:
Cuando éste sea prestado en los locales del responsable del fichero esta circunstancia debe reflejarse en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas reflejadas en dicho documento.
Cuando el acceso sea remoto, el responsable deberá hacer constar esta circunstancia en su documento de seguridad.
Cuando el servicio sea prestado en los locales del propio encargado del tratamiento, éste debe elaborar un documento de seguridad identificando el o los ficheros y su responsable e incorporando las medidas de seguridad que hay que implantar con respecto a los mismos.
Otro aspecto que debemos señalar y que concierne a un encargado del tratamiento es el relativo al ejercicio de derechos. Cuando se produzca una situación de este tipo el encargado debe trasladar la solicitud recibida al responsable del fichero para que sea éste quien resuelva la misma, salvo que ambos hubiesen previsto que el encargado tuviese que hacer cargo de estas solicitudes, eso si, siempre por cuenta del responsable.
Asimismo, el Responsable del tratamiento debe velar porque el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el RLOPD y además deberá reflejar en su Documento de Seguridad los ficheros que son tratados en concepto de encargado del tratamiento con referencia expresa al contrato que regule las condiciones del encargo, la identificación del responsable y el período de vigencia del encargo.