InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

Tus obligaciones:

La notificación e inscripción de ficheros

Los principios de la protección de datos

Las medidas de seguridad

El ejercicio de los derechos arco

La transferencia internacional de datos

Colaboración con la Agencia

Los principios de la protección de datos:

La calidad de los datos

El deber de informacion

El consentimiento del afectado

Los datos especialmente protegidos

La seguridad de los datos

El deber de secreto

La comunicación de datos

El acceso a los datos por cuenta de terceros

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright © 2008

Aviso. El contenido de esta web tiene un carácter meramente informativo, podría estar incompleto y carece de validez jurídica alguna. El uso que se haga del contenido de esta web es responsabilidad exclusiva del usuario.

Sumario


¿Que es el acceso a datos por cuenta de terceros?

El acceso a los datos por cuenta de terceros es uno de los nueve principios a través de los cuales la » Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (Lopd) establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para no perjudicar la intimidad y demás derechos fundamentales de los ciudadanos.

A través de este principio, el » artículo 12 de la Lopd establece cual es el régimen jurídico aplicable a la situación que se produce cuando el responsable del fichero contrata a una persona o entidad ajena a su organización para que le preste algún servicio utilizando los datos de carácter personal almacenados en sus ficheros. Por poner algunos ejemplos, cuando se habla de “terceros”, la ley se refiere de personas o entidades que prestan servicios de contabilidad, elaboración de las nominas de los empleados, envío de publicidad a los clientes, y, en general, a cualquiera que preste algún tipo de servicio que implique el tratamiento de los datos de carácter personal por cuenta del responsable del fichero.

Cuando el responsable del fichero contrata un servicio de este tipo, se produce una relación jurídica denominada
“acceso a los datos por cuenta de terceros” en la que quien presta el servicio adquiere la condición de “encargado del tratamiento” y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.


Diferencias con la "comunicación de datos"

De manera general, cuando el responsable del fichero revela los datos de carácter personal almacenados en sus ficheros a una persona o entidad distinta al titular de los datos se produce lo que la ley denomina una » “comunicación de datos” regulada en el artículo 11 de la Lopd, sin embargo, la propia ley establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento” (artículo 12.1 Lopd). Como podemos intuir, considerar una cesión de datos como “comunicación de datos” o como “acceso a los datos por cuenta de terceros” tiene consecuencias jurídicas importantes por lo que es conveniente analizar las características de cada una de las figuras individualmente:

  • Comunicación de datos: la comunicación de datos se encuentra regulada en el artículo 11 de la Lopd y se produce cuando el responsable del fichero cede los datos de carácter personal a un tercero para que los trate por su cuenta y bajo su propia responsabilidad. En estos supuestos, el tercero adquiere la condición de responsable del fichero, asume sus mismas obligaciones y queda sujeto a su mismo régimen sancionador
  • Acceso a los datos por cuenta de terceros: el acceso a los datos por cuenta de terceros se encuentra regulado en el artículo 12 de la Lopd y se produce cuando el responsable del fichero permite a un tercero acceder a los datos de carácter personal para que le preste algún servicio relacionado con dichos datos. En estos supuestos, el tercero adquiere la condición de encargado del tratamiento y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.

Por lo tanto, para que una cesión de datos se considere “acceso a datos por cuenta de terceros” y no una “comunicación de datos” se tiene que realizar cumpliendo estrictamente lo dispuesto en el artículo 12 de la Lopd. En caso contrario, estaríamos ante una “comunicación de datos” encubierta que se debería llevar a cabo conforme a lo previsto en el artículo 11 de la Lopd y que convierte al encargado del tratamiento en responsable del fichero asumiendo sus mismas obligaciones y quedando sometido al mismo régimen sancionador.


Regulación legal

El acceso a los datos por cuenta de terceros se encuentra regulado en el » artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (Lopd) y en los » artículos 20,21 y 22 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la Lopd, artículos a los que se recomienda acudir para completar el contenido de esta web.


La figura del encargado del tratamiento

Con el término “encargado del tratamiento”, la Ley Orgánica de Protección de Datos de Carácter Personal (Lopd) hace referencia a la persona o entidad contratada por el responsable del fichero para que le preste algún tipo de servicio utilizando los datos de carácter personal almacenados en sus ficheros (contabilidad, elaboración de nominas, campañas de marketing, etc). El encargado del tratamiento está definido legalmente como “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”, (artículo 3.g de la Lopd y artículo 5.1.i de su Reglamento).

Como vemos, la definición del “encargado del tratamiento” es muy amplia, incluyendo, entre otros, a las gestorías contables, las asesorías laborales, a las empresas de marketing, y, en general, a cualquier persona o entidad que preste algún tipo de servicio que implique el tratamiento de los datos de carácter personal por cuenta del responsable del fichero.


El contrato de acceso a los datos por terceros

Como ya hemos visto, para que una cesión de datos sea considerada “acceso a los datos por cuenta de terceros” tiene que estar fundamentada en la prestación de un servicio que debe estar formalizado en un contrato cuya forma, contenido y características se encuentran regulados en el artículo 12 de la Lopd en los siguientes términos:

  • Forma del contrato. Para que el contrato sea válido, deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido
  • Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines.
  • Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
  • Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

- Más información: » ejemplos de contrato de acceso a los datos por cuenta de terceros


La subcontratación de los servicios

Con la finalidad de evitar que los datos personales cambien de manos sin control, el Reglamento de la Lopd se encarga de regular una situación que se suele dar con frecuencia en la práctica, y es que el encargado del tratamiento, para poder prestar sus servicios, tenga que subcontratar todo o parte del tratamiento a otro tercero.
En relación a esta posibilidad , el artículo 21 del Real Decreto 1720/2007 establece que, el encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En cuyo caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. Sin embargo el reglamento admite la posibilidad de subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

  • Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
  • Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
  • Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior.
  • Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en los apartados anteriores.

Una vez efectuada la subcontratación, el subcontratista será considerado encargado del tratamiento y solamente podrá tratar los datos con arreglo a lo estipulado en el contrato. En el caso de que destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.


Infracciones y sanciones

A la hora de determinar las consecuencias jurídicas del incumplimiento de las condiciones previstas en el artículo 12 de la Lopd para el acceso a los datos por cuenta de terceros, hemos de tener en cuenta que se trata de una relación en la que intervienen diferentes figuras y que cada cual asume su propia responsabilidad; el responsable del fichero, el encargado del tratamiento y el subcontratista si lo hubiere.

  • En cuanto al responsable del fichero, debe tener en cuenta que entregar los datos a un tercero para la prestación un servicio sin observar las condiciones previstas en el artículo 12 Lopd, supone estar efectuando una comunicación de datos que si no se lleva a cabo en las condiciones previstas en el artículo 11 de la Lopd, seria constitutivo de una infracción de carácter muy grave sancionable por la Agencia Española de Protección de Datos con multas desde 300.000 euros hasta 600.000 euros en función del daño causado y de las circunstancias en que se haya cometido la infracción.
  • En cuanto al encargado del tratamiento, esta obligado a tratar los datos siguiendo estrictamente las instrucciones del responsable del fichero en los términos y condiciones que se hayan estipulado contractualmente, debiendo tener en cuenta que si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
  • En cuanto al subcontratista, debe tener en cuenta que, a pesar de estar subcontratado, también asume el papel de encargado del tratamiento, debiendo tratar los datos siguiendo estrictamente las condiciones del contrato de subcontratación de servicios, de manera que si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.


Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?