Inicio > Guías Prácticas de: > Adaptación a la LOPD

El acceso a datos por cuenta de terceros.

Una vez han sido localizados y determinados los ficheros de datos de carácter personal se procederá a la Notificación de los mismos a la Agencia Española de Protección de Datos para su Inscripción.

Por: María González Moreno de Manaca Consulting, S.L.

En muchas ocasiones, las empresas contratamos y subcontratamos con otras empresas la prestación de servicios profesionales especializados; servicios que suponen un acceso a los datos de carácter personal almacenados en nuestros ficheros para que sean tratados, almacenados y/o conocidos por estos profesionales. Ejemplos de este tipo de casos son los de las Gestorías Fiscales, Laborales, Auditores de Cuentas, Administradores de Fincas, Servicios de Mantenimiento y Soporte Informático, servicios de hospedaje informático, desarrollo de acciones de promoción y marketing, y un largo etcétera (Cinco Pautas para proteger la información confidencial de la empresa cuando es tratada por terceros).

Son muy numerosos y habituales, en el día a día de las empresas, los supuestos en los que existe una relación de prestación de servicios entre el Responsable del Fichero y un tercero, por el que éste último presta un servicio que conlleva necesariamente para su realización el acceso, tratamiento y conocimiento de los datos almacenados en un fichero.

A diferencia de la cesión de datos, donde el cesionario accede a los datos y los destina a un fin propio, para el acceso a los datos por cuenta de terceros no es necesario recabar el consentimiento del interesado, pero si cumplir con los requisitos establecidos en el art.12 de la Ley.

¿Qué es el acceso a los datos por cuenta de terceros?

El acceso a datos por cuenta de terceros supone la prestación de un servicio al Responsable del Fichero por parte de una tercera empresa (encargado del tratamiento), que accede a los datos del fichero para el cumplimiento de la prestación contratada; actuando en nombre, por cuenta y de acuerdo a las instrucciones establecidas y dadas por el Responsable del Fichero.

La LOPD distingue, de forma expresa, esta figura de la comunicación o cesión de datos, indicando que –“no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero”-.

¿Qué requisitos establece la ley para el acceso a datos por cuenta de terceros?

Aunque debiera proponerse por el Responsable del Fichero, cualquiera de las partes podrá proponer la firma de un contrato de acceso a datos, que deberá formalizarse preferiblemente por escrito, de manera que acredite fehacientemente su celebración y contenido.

En cuanto a su contenido, deberá recoger los siguientes extremos:

a) Objeto de la prestación contratada.

b) Expresa mención de que dicho acceso a los datos del fichero es necesario para el cumplimiento del objeto contractual.

c) Obligaciones del Encargado del Tratamiento:

•Se fijarán las instrucciones concretas para el acceso y tratamiento de los datos.

•Se establecerán y detallarán las medidas de seguridad que deberá adoptar e implantar, de acuerdo al nivel de seguridad de los datos, para garantizar su seguridad y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

•Se establecerá la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera para su conservación.

En caso de que el encargado del tratamiento quiera subcontratar algún servicio que suponga el acceso a los datos a un tercero, deberá contar con el expreso consentimiento del Responsable del Fichero; consentimiento que deberá quedar establecido en el contrato:

- Bien formalizándose un contrato a tres bandas,

- Bien a través de una cláusula contractual que recoja el expreso mandato del Responsable del Fichero al Encargado del Tratamiento para la subcontratación de servicios y/o actuaciones concretas que supongan o conlleven el acceso a los datos por parte de dicho tercero.

•Se establecerán las condiciones para la devolución o, en su caso destrucción, de los datos así como de los soportes informáticos generados, documentación, etc.., una vez concluida la prestación.

d) Determinación de las responsabilidades de las partes:

•Del Encargado del Tratamiento: asumirá personalmente las infracciones y sanciones que puedan derivarse del incumplimiento de sus obligaciones contractuales en relación con los datos de carácter personal.

•Del Responsable del Fichero: asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato.

Acompañamos a este artículo un modelo orientativo de Contrato de Acceso a Datos por cuenta de Terceros, en el que se regula el acceso a los datos para la prestación de un servicio al Responsable del Fichero por parte del Encargado del Tratamiento en el siguiente enlace (documento PDF), que deberá ser personalizado y adaptado a cada supuesto concreto.

Agencia Española de Protección de Datos (AEPD). http://www.agpd.es

**

Vote el Artículo

1 2 3 4 5 6 7 8 9
[----]    [+++]

Opine sobre el artículo
Por favor indique el título del artículo sobre el que desea dar su opinión

**
**

¿Quiere un ejemplo de contrato de acceso a datos?

Modelo de contrato de acceso a datos por cuenta de terceros

**
**

María González Moreno, Socia Consultora Manaca Consulting

María González Moreno

Si lo desea puede escribir un mail
Indique la persona a la que desea hacer la pregunta y realice cuantas preguntas, sugerencias o comentarios desee.
Recibirá su contestación lo antes posible.
Muchas gracias.

**
**

Guía LOPD

Introducción

La Protección de Datos de Carácter Personal, una nueva Obligación para las Empresas y Profesionales

Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal.

La importancia de la Protección de la Información Corporativa.

Objeto y ámbito de aplicación de la LOPD

Bien jurídico protegido por la normativa sobre protección de datos de carácter personal

¿Qué datos/ficheros se regulan por la lopd y cuáles no?

Obligaciones básicas de la LOPD

Legalización

Inscripción de ficheros localización y determinación de los ficheros a inscribir

Procedimiento de inscripción y notificación de ficheros en la agencia española de protección de datos.

Inscripción de los ficheros temporales

Legitimización

Obtención del consentimiento de los titulares de los datos y otros principios básicos de la LOPD

El derecho de información en la recogida de los datos (art.5)

Calidad de los datos (art.4 lopd)

Consentimiento del afectado (art.6)

Deber de secreto (art.10)

Protección

Las medidas de seguridad en la protección de datos de carácter personal.

Las medidas de seguridad de Nivel Básico.

Las medidas de seguridad de Nivel Medio.

Las medidas de seguridad de Nivel Alto.

Otros aspectos de la LOPD

La cesión de datos: supuestos permitidos

Las transferencias internacionales de datos

**