Llanos Manzanares Galeán. Abogada de ??udea, Seguridad de la Información, S.L.
Una actividad muy habitual entre las empresas hoy en día es remitir grandes cantidades de información a empresas terceras, ya sea para cumplir con obligaciones legales como es el caso de la remisión de los datos de los empleados al INEM, a la Tesorería General de la Seguridad Social o a la Agencia Tributaria; para que las filiales reporten su estado a la empresa matriz de la que derivan; para llevar a cabo la contabilidad de la empresa contratando a una gestoría externa; o bien solicitando los servicios de un despacho de abogados o de una empresa informática para los servicios de asesoramiento legal o mantenimiento informático respectivamente.
Todas estas actividades conllevan una salida de datos fuera de la empresa responsable de los mismos. En el caso de que la información que se remita contenga datos de carácter personal habrá que estar a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, más conocida como LOPD que deroga a la anterior LORTAD.
Dependiendo del flujo de datos personales que la empresa desee llevar a cabo habrá que cumplir con unos u otros requisitos, por lo que a continuación se describirá de la forma más sucinta posible los distintos tipos de flujos de datos que la LOPD contempla, así como los requisitos que sería necesario adoptar en cada caso.
La LOPD regula dos figuras dentro de las cuales se engloba cualquier tipo de flujo de datos, por lo será necesario desgranar la diferencia entre las mismas: ACCESO A DATOS POR CUENTA DE TERCEROS y CESIÓN DE DATOS.
Para que se comprenda adecuadamente la diferencia entre éstas habrá que comenzar definiendo lo que la LOPD entiende por TRATAMIENTO.
La LOPD define al TRATAMIENTO como el conjunto de ? operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias?.
Esto quiere decir que, por ejemplo, si la empresa en cuestión contrata a una gestoría la gestión de nóminas del personal, contratase a una empresa de márketing para efectuar acciones promocionales o comerciales a sus potenciales clientes, o solicitase el alojamiento de su Intranet, Bases de Datos, Web, en los servidores de un tercero, existirá tratamiento, y en consecuencia, será de aplicación la LOPD.
Entre los servicios que con mayor frecuencia son externalizados o contratados con terceras empresas especializadas se pueden señalar los siguientes:
? Asesoría Laboral o Contable
? Gestión de RRHH
? Márketing
? Servicios Informáticos (hosting, desarrollo web site, mantenimiento informático, etc…)
Como denominador común de todos ellos se encuentra la necesidad de ?tratar? ficheros de datos de carácter personal e información confidencial titularidad de la empresa que externaliza los servicios, y con ello la aplicación de la Ley de Protección de Datos de Carácter Personal y sus consecuencias.
La LOPD establece que en estos supuestos existe un ?Acceso a Datos por Cuenta de Terceros? , en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero (empresa que contrata) y el Encargado del Tratamiento (empresa contratada).
El Responsable del Fichero es el titular de los Ficheros de datos de carácter personal, es decir, la empresa que contrata un determinado servicio. Así la LOPD define al Responsable del Fichero como: ?persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento?.
El Encargado del tratamiento , en cambio, será la tercera empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: ?la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento (Responsable del Fichero)?.
La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es normalmente una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del artículo 12 LOPD.
Nos encontramos ante la figura del encargado del tratamiento cuando los datos titularidad del responsable del fichero son tratados por un tercero ajeno a su organización.
La justificación del tratamiento que ese tercero hace de los datos viene dada por el hecho de que el acceso a la información de carácter personal por el tercero es necesario para la prestación de un servicio al responsable. Esta última cuestión es realmente significativa, pues constituye la principal nota diferenciadora entre cesión de datos y tratamiento de datos por terceros, dos figuras que habitualmente suelen confundirse, pero con regímenes jurídicos dispares.
Así, en la ? Cesión o comunicación de datos?, el tercero cesionario que trata los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del Responsable del Fichero.
En la cesión de datos, intervienen dos Responsables del fichero, quien cede los datos y quien recibe los mismos, esto sucede en los siguientes casos:
? cualquier flujo de datos que se lleve a cabo por imperativo legal será una cesión y no un acceso, como por ejemplo, cesiones de datos de los proveedores a la Agencia Tributaria, cesión de datos a la Mutualidad que presta el servicio de Prevención de Riegos Laborales, etc.
? Las cesiones de datos que se producen entre empresas de un mismo Grupo, los flujos de datos entre filiales y empresa matriz, etc.
En el acceso a datos por cuenta de terceros será necesario que la empresa Responsable de los datos lleve a cabo con carácter previo a facilitar los mismos a la empresa tercera a la que se le ha encomendado la prestación del servicio la firma de un contrato o Acuerdo donde conste por escrito la siguiente información:
? el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento,
? El encargado del tratamiento no aplicará o utilizará los datos personales con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
? En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos Personales que el encargado del tratamiento está obligado a implementar.
? Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que entre la empresa Responsable del Fichero y el Encargado del Tratamiento ya exista un contrato que regule el servicio contratado, será recomendable adjuntar un anexo al mismo que contenga los extremos anteriormente expuestos, en lugar de firmar un nuevo acuerdo que podría resultar más engorroso.
Por el contrario, si la empresa Responsable del Fichero tiene como objetivo efectuar una cesión de datos, para que ésta fuese lícita y acorde con la normativa de protección de datos, la empresa deberá cumplir con los siguientes requisitos:
? Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
? La empresa no estará obligada a recabar el consentimiento en los siguientes casos:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
? Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
Dependiendo del caso ante el que la empresa se encuentre, la misma deberá cumplir con unas u otras obligaciones, no resultando sencillo en la mayoría de las ocasiones conceptuar claramente el tipo de flujo de datos ante el que se encuentra.
Disculpa, debes iniciar sesión para escribir un comentario.