La LOPD define al encargado de
tratamiento en su artículo 3.g) como la persona
física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
sólo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.
Concepto que tiene que ser puesto
en relación con el artículo 12 de la propia LOPD:
Artículo 12. Acceso
a los datos por cuenta de terceros.
1. No se
considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.
2. La
realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita
acreditar su celebración y contenido, estableciéndose expresamente que el
encargado del tratamiento únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicará o utilizará
con fin distinto al que figure en dicho contrato, ni los comunicará, ni
siquiera para su conservación, a otras personas.
En el contrato
se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de
esta Ley que el encargado del tratamiento está obligado a
implementar.
3. Una vez
cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento.
4. En el caso
de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será
considerado también responsable del tratamiento, respondiendo de las
infracciones en que hubiera incurrido personalmente.
Por ponerte un ejemplo real, un
encargado de tratamiento o tercero con acceso a datos es por ejemplo tu asesor
laboral –si lo tienes- cuando te presta el servicio de confección de nóminas,
seguros sociales, contratos laborales… También lo sería tu asesor fiscal,
cuando le haces entrega de tus facturas para que te haga las correspondientes
liquidaciones e impuestos, o te lleve la contabilidad. Tanto uno como otro te
están prestando un servicio de asesoramiento y gestión y para ello acceden a
los datos de tus empleados o de tus facturas, porque lo necesitan para
prestarte el servicio encomendado.
La Ley exige que este tipo de
relación se rija por ciertos elementos, como su constancia por escrito o –algo muy
importante- que se indiquen las medidas de seguridad que se tienen implantadas.
Esto último significa que si tu asesor fiscal no está adaptado a la LOPD no puedes
contratarlo, porque la Ley te exige que tú veles porque él cumpla con la
normativa.
Es una cuestión que habitualmente
se pasa por alto y que luego puede dar lugar a sanciones muy serias. Y te
aseguro que la Agencia Española de Protección de datos no se va a dar por satisfecha
porque le argumentes que en el contrato, el encargado de tratamiento declara
tener implantadas todas la medidas de seguridad reglamentarias.
Así no te libras.