Trabajar con datos de terceros
Es una práctica habitual de las empresas contratar servicios con otras empresas para el desarrollo de servicios profesionales especializados, gestorías, servicios de mantenimiento informático, etc. que implican un acceso a datos de carácter personal.
Igual que nosotros cedemos esos datos, en muchos casos, dependiendo de nuestra actividad, son otras empresas las que nos ceden sus datos para realizar determinadas tareas.
¿Qué debemos hacer para ceder datos a terceros?
Cuando los datos personales de nuestras empresas son tratados por personas distintas a los usuarios de nuestra organización estamos hablando de una figura que se denomina encargado de tratamiento. Es decir, nos están prestando un servicio sobre los datos personales. Este servicio debe tener como objeto una finalidad legítima para considerarse dentro de este supuesto.
La LOPD regula la relación entre el responsable del fichero y el encargado del tratamiento, estableciendo una serie de obligaciones encaminadas a garantizar la seguridad de dicho tratamiento de datos personales.
Esta relación debe regularse en un contrato escrito o en alguna otra forma que permita acreditar su celebración (por ejemplo, un Convenio) en el que conste:
- Que el encargado únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
- Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
- Que el encargado del tratamiento no utilizará los datos con fines distintos a los que figuren en el contrato.
- Que el encargado del tratamiento no cederá los datos a otras personas, ni siquiera para su conservación.
- Que, una vez cumplida la prestación, los datos serán destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que consten datos objeto del tratamiento.
¿Qué debemos hacer cuando trabajamos con datos de terceros?
Si Lo que vamos a hacer es prestar un servicio al Responsable del fichero y accederemos a los datos del fichero con datos personales en nombre del Responsable del fichero, deberemos tener en cuenta lo siguientes aspectos:
Si nuestro cliente no lo solicitara, deberemos ser nosotros quienes solicitemos la firma de un contrato de acceso a datos, formalizándolo por escrito.
El contrato debe incluir los siguientes puntos:
a) Identificar los trabajos para los que se van a tratar los datos. Es importante indicar en el contrato que el acceso a los datos del fichero es imprescindible para llevar a cabo los trabajos especificados en el contrato.
b) Obligaciones del Encargado del Tratamiento. Si es un tercero quien nos cede los datos, deberemos tener presentes los siguientes aspectos.
• Se establecerán y detallarán las medidas de seguridad que se deberán adoptar e implantar, de acuerdo con el nivel de seguridad de los datos, para garantizar su seguridad y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
• Se establecerá la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera para su conservación.
En caso de que el encargado del tratamiento quiera subcontratar algún servicio que suponga el acceso a los datos a un tercero, deberá contar con el expreso consentimiento del Responsable del fichero.
• Se establecerán las condiciones para la devolución o, en su caso destrucción, de los datos, así como de los soportes informáticos generados, documentación, etc., una vez concluida la prestación.
d) Determinación de las responsabilidades de las partes:
• Del Encargado del Tratamiento: asumirá personalmente las infracciones y sanciones que puedan derivarse del incumplimiento de sus obligaciones contractuales en relación con los datos de carácter personal.
• Del Responsable del Fichero: asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo con las instrucciones y obligaciones fijadas en el contrato.
Independientemente de que los ficheros tratados de terceras empresas contengan o no datos personales, debemos extremar las medidas de seguridad en el trabajo con ellos. Contractualmente deberían incluirse referencias a la confidencialidad con la que se tratarán esos datos por parte de la empresa prestadora de los servicios.
Si las organizaciones implicadas contasen con un procedimiento de clasificación y tratamiento de la información, sería una buena práctica establecer equivalencias entre los procedimientos para asegurar que en todo momento se siguen procesos seguros en el tratamiento de la información.