LOPD5 pautas para proteger la información confidencial de mi empresa cuando es tratada por terceros.¿Qué pasa cuando la Información Confidencial y los Ficheros de Datos de Carácter Personal de mi empresa son tratados por un tercero al que he contratado un determinado servicio? ¿Cómo puedo proteger mis Ficheros y mi información confidencial? ¿Cómo garantizo que esa tercera empresa va a cumplir lo establecido en la LOPD? Por: María González Moreno de Manaca Consulting, S.L. |
La externalización de servicios o outsourcing supone un acceso a información confidencial y bases de datos por terceros. Para garantizar la seguridad y protección de dicha información es necesario regular la prestación de los servicios externalizados. Cuando se traten por una tercera empresa ficheros de datos de carácter personal es de aplicación la LOPD, y hay que tener en cuenta las obligaciones y responsabilidades establecidas en la misma. Además, para proteger la información confidencial de la empresa cuando es tratada por un tercero es necesario firmar un contrato de prestación de servicios en las que se establezcan las condiciones del tratamiento y especialmente las obligaciones de confidencialidad y secreto. |
La externalización de servicios (o outsourcing) es una práctica cada día más habitual; nos permite a las empresas centrar nuestros esfuerzos en la actividad principal y contar con servicios especializados, reduciendo costes económicos y organizativos, contratando con terceras empresas determinados servicios. Entre los servicios que con mayor frecuencia son externalizados o contratados con terceras empresas especializadas podemos señalar los siguientes: - Asesoría Laboral o Contable - Gestión de RR.HH - Marketing. - Servicios Informáticos (hosting, desarrollo web site, mantenimiento informático, etc...) Como denominador común de todos ellos encontramos la necesidad de “tratar” ficheros de datos de carácter personal e información confidencial titularidad de la empresa que externaliza los servicios, y con ello la aplicación de la Ley de Protección de Datos de Carácter Personal (15/1999 – LOPD) y sus consecuencias. Si su empresa se encuentra entre aquellas que subcontratan alguno de estos servicios a terceras empresas que “tratan” sus ficheros de datos de carácter personal y su información confidencial, preste atención a las 5 pautas que ha de tener en cuenta para cubrir los riesgos que pueden derivarse. I. ¿Cuándo se entiende que una empresa “trata” mis ficheros de datos de carácter personal? La LOPD entiende por TRATAMIENTO el conjunto de “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Esto quiere decir que, por ejemplo, si contratamos la gestión de nominas del personal, acciones de Marketing a clientes y potenciales clientes, o el alojamiento de mi Intranet, Bases de Datos, Web, en los servidores de un tercero, existirá tratamiento, y en consecuencia, será de aplicación la LOPD. II. ¿Qué tipo de relación jurídica se da en estos casos? La LOPD establece que en estos supuestos existe un “Acceso a Datos por Cuenta de Terceros”, en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero y el Encargado del Tratamiento. Responsable del Fichero es el titular de los Ficheros de datos de carácter personal, es decir, la empresa que subcontrata un determinado servicio. Así la LOPD define al Responsable del Fichero como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Encargado del tratamiento, en cambio, será la tercera empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento (Responsable del Fichero)”. La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es normalmente una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del art. 12 LOPD. III. ¿Qué diferencia existe entre el Acceso a Datos por Cuenta de Terceros y la Cesión de Datos? La principal diferencia entre ambas acciones es la finalidad de cada una de ellas. Así, en la cesión o comunicación de datos, el tercero cesionario que trata los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del Responsable del Fichero. IV. ¿Qué aspectos he de regular en el contrato para proteger mis Ficheros y además cumplir lo dispuesto en la LOPD? Cómo hemos señalado en el punto II, la LOPD establece que bien en el contrato principal de prestación de servicios, o bien, en un contrato adicional y anexo al contrato principal, se indique el contenido del art. 12 LOPD. Así el art. 12 establece:“1. No se considerará comunicación de datos (cesión de datos) el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (Responsable del Fichero). 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente”. V. Y para proteger el resto de información confidencial de mi empresa, ¿qué otros aspectos he de incluir en el contrato? Si para la prestación de un determinado servicio, además de acceder a mis Ficheros de Carácter Personal, la tercera empresa ha de acceder a otro tipo de información confidencial, es recomendable, además, incluir referencias al deber de secreto y a la confidencialidad. Para ello, podemos incluir alguna cláusula, bien en el contrato principal o bien en un contrato adicional o anexo al contrato principal, que refleje la obligación de confidencialidad y deber de secreto que tiene la empresa prestadora de los servicios, así como establecer las posibles responsabilidades que deberá asumir en caso de incumplimiento. | 