Inicio Proteccion de datos Acceso a datos personales por cuenta de terceros

Acceso a datos personales por cuenta de terceros

Publicado en 6 septiembre, 2011 por Carmen Blázquez Ródriguez

El acceso a datos personales por cuenta de un tercero, aparece regulado en el artículo 12 de la LOPD, conforme al
cual se establece:

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

Atendiendo a la literalidad del punto primero, observamos la ausencia o excepción del consentimiento por parte del afectado, que solo es requerido en la recogida de datos personales y en la comunicación o cesión de los mismos. Ahora bien, para que opere la excepción del consentimiento en la comunicación de los datos se exige la concurrencia de las garantías previstas en el párrafo 2 del presente artículo.

2.  La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

En primer lugar, el responsable del fichero debe haber encomendado el tratamiento de los datos mediante un contrato, pactado de forma que permita comprobar su existencia así como su contenido. De no existir un contrato escrito, debe acreditarse por cualquier otro medio, que hubo encargo.

En segundo término, dicho contrato ha de contener las instrucciones que el responsable del tratamiento impone para el uso de los datos y de las que el encargado no puede separarse.

Finalmente, tiene que constar también el fin que legitima la comunicación, que no pueden obviar las partes, quienes, además, han de abstenerse de comunicar los datos a otras personas.

3.  Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4.  En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Las anteriores prescripciones tienen tal envergadura que si el encargado se separa del fin del contrato o usa y comunica los datos sin seguir lo pactado es considerado responsable del tratamiento y responde de las eventuales infracciones como tal (apartado 4 del artículo 12). Una vez cumplido el objeto del contrato, los datos se destruyen o devuelven al responsable, así como los soportes o documentos en los que consten (apartado 3).

El artículo 12 de la Ley Orgánica 15/1999 constituye una unidad, sin que resulte lícito separar sus distintos apartados como si de compartimentos estancos se tratara.

La LOPD  con anterioridad a la entrada en vigor de la Ley de Economía Sostenible, consideraba que la transmisión de datos al encargado sin contrato escrito, era cesión inconsentida que constituía una infracción muy grave.

La Ley de Economía Sostenible (Ley Sinde),  modifica algunos artículos de la LOPD, entre ellos el art 44.2, conforme al cual: La transmisión de datos al encargado del tratamiento, sin que se cumplan las obligaciones formales previstas en el art 12 (existencia del contrato escrito), es considerada una infracción leve.

Por tanto, la ausencia del contrato escrito en la transmisión de datos, no significa que nos encontremos ante una cesión inconsentida, siempre y cuando se pueda acreditar de cualquier otra forma admitida en derecho, que el encargado prestaba un servicio al responsable de los ficheros personales transmitidos.

Existirá acceso a datos personales y no cesión de datos, siempre y cuando:

  • Los datos sean comunicados a un tercero que ha de cumplir un servicio contratado por el responsable del tratamiento (quien recogió nuestros datos personales)
  • No se requiere del consentimiento del afectado.
  • Se exige un contrato de prestación de servicios, o cualquier otra forma que acredite el encargo, entre la persona responsable del tratamiento y el tercero autorizado (encargado del tratamiento) a acceder a nuestros datos
    personales.
  • La existencia del mero contrato será insuficiente si en el mismo no se especifica las instrucciones de uso de los datos que ha de seguir el encargado del tratamiento.
  • La ausencia del contrato o el incumplimiento del mismo por el encargado del tratamiento, tras la reforma operada por la Ley de Economía Sostenible, ya no implica una cesión de datos inconsentida.
  • Cumplida la prestación contractual, los datos personales deberán ser devueltos al responsable del tratamiento o habrán de ser destruidos.
Publicado en: Proteccion de datos, Tratamiento de datos de carácter personal: Recogida y cesión

Comparte el enlace, si te ha gustado: