InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright 2008

Sumario


¿Quien es el encargado del tratamiento?

Con el término “encargado del tratamiento”, la Ley Orgánica de Protección de Datos de Carácter Personal (Lopd) hace referencia a la persona o entidad que accede a los datos de carácter personal para prestar algún tipo de servicio al responsable del fichero (contabilidad, nominas, marketing, hosting etc.). Esta figura está definida legalmente como “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”, (artículo 3.g de la Lopd y artículo 5.1.i de su Reglamento).

Como vemos, la definición del “encargado del tratamiento” es muy amplia, incluyendo, entre otros, a las gestorías contables, las asesorías laborales, a las empresas de marketing, y, en general, a cualquier persona o entidad que preste algún tipo de servicio que implique el tratamiento de los datos de carácter personal por cuenta del responsable del fichero.


Regulación legal

Básicamente el régimen jurídico aplicable a la figura del encargado del tratamiento se encuentra regulado en el » artículo 12de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y en el » Título II / Capítulo III (artículos 20 a 22) del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007), articulos a los que recomendamos dirigirse para completar lel contenido de esta web.


El contrato de prestación de servicios

El acceso a los datos por parte del encargado del tratamiento y su posterior tratamiento por cuenta del responsable del fichero se denomina jurídicamente “acceso a los datos por cuenta de terceros” y para que sea legalmente válido tiene que realizarse en las condiciones previstas en el artículo 12 de la Lopd, es decir, tiene que estar fundamentado en la prestación de un servicio y debe estar regulado en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Tal y como establece el artículo 12 de la Lopd, el contrato de “acceso a los datos por cuenta de terceros” debe establecer expresamente los siguientes extremos

  • Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines.
  • Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
  • Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

En el caso de que no se formalice debidamente este contrato, estaríamos ante una “comunicación o cesión de datos” que se debe desarrollar conforme a lo previsto en el artículo 11 de la Lopd y que convierte al encargado del tratamiento en responsable del fichero asumiendo sus mismas obligaciones y quedando sometido al mismo régimen sancionador.


Posibilidad de subcontratar los servicios

Tal y como establece el artículo 21 del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007), el encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En cuyo caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. Sin embargo el reglamento admite la posibilidad de subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

  • Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
  • Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
  • Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior.
  • Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable

Una vez efectuada la subcontratación, el subcontratista será considerado encargado del tratamiento y solamente podrá tratar los datos con arreglo a lo estipulado en el contrato. En el caso de que destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.


Infracciones y sanciones

A la hora de determinar la responsabilidad por incumplimiento de la Ley Orgánica de Protección de Datos, hay que tener en cuenta que el encargado del tratamiento trata los datos por cuenta del responsable del fichero, por lo que su responsabilidad se limita a seguir sus instrucciones y a cumplir con las estipulaciones del “contrato de acceso a los datos por cuenta de terceros” que se haya formalizado. Sin embargo, si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, pudiendo ser sancionado por la Agencia Española de Protección de Datos con multas de hasta 600.000 euros (cien millones de pesetas) dependiendo del tipo de infracción que se haya cometido (leve, grave o muy grave).



Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?