En principio y cuando de proteger los datos personales de los ciudadanos se trata, nuestra normativa es muy exigente y establece que, cuando vamos a comunicar datos personales de los que somos responsables (trabajadores, clientes, alumnos, pacientes…) a terceras personas o empresas es necesario que, previamente, hayamos obtenido el consentimiento expreso del titular de los datos, para llevar a cabo esa cesión de datos personales.
No obstante, existen excepciones a esta regla que permiten facilitar datos personales a terceros sin tener que obtener el consentimiento del titular de los datos. Así, podremos facilitar datos personales a terceros sin tener que pedir el consentimiento del afectado, siempre y cuando, esa comunicación de datos sea necesaria para que ese tercero pueda prestarnos un servicio.
En este sentido el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece:
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Un ejemplo común, para entender a qué situaciones se refiere la Ley, es el de la gestoría laboral. Las gestorías laborales, entre otras cosas, acostumbran a realizar las nóminas de los trabajadores de las empresas y, en ese caso, como la gestoría presta un servicio a la empresa, no es necesario que la empresa solicite el consentimiento de sus trabajadores para que la gestoría realice las nóminas. Ahora bien, sí que será necesario que exista un contrato entre la empresa (responsable del fichero) y la gestoría (encargado del tratamiento) y, este contrato es el que se conoce como contrato de tratamiento de datos, contrato del artículo 12 de la LOPD o contrato de encargado del tratamiento.
Así, las partes (en el ejemplo anterior, la empresa y la gestoría) deben firmar un contrato que contenga unos mínimos requisitos en materia de protección de datos personales, que proteja tanto a los titulares de los datos, como a la empresa que los comunica al tercero.
Requisitos que debe cumplir el contrato de tratamiento de datos o contrato del artículo 12 de la LOPD.
Como su propio nombre indica (o por el nombre que se ha dado a conocer) la regulación de los requisitos que debe contener el contrato de tratamiento de datos vienen regulados en el artículo 12.2 de la LOPD (debe tenerse en cuenta que es posible y correcto que se introduzca dentro del contrato de prestación de servicios suscrito entre las partes, una cláusula que recoja todos los requisitos, sin que sea preciso entonces firmar un contrato independiente, sería igualmente correcto).
Así, el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Y, en su apartado tercero (artículo 12.3 de la LOPD) añade:
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
Por tanto, los requisitos son:
- El encargado del tratamiento (el prestador del servicio) tiene que utilizar los datos que le facilita el responsable del fichero (cliente) con la única finalidad que éste le haya indicado (realizar las nóminas, mantenimiento informático, asesoramiento fiscal, etc.).
- Las medidas de seguridad que debe aplicar el encargado del tratamiento, son las mismas que debe aplicar el responsable del fichero, es decir, si por ejemplo, el responsable del fichero trata datos de nivel alto, el encargado del tratamiento también deberá implantar medidas de seguridad de nivel alto.
- Una vez finalizada la prestación del servicio, el encargado del tratamiento deberá devolver al responsable del fichero toda la documentación e información que tenga al respecto o destruirla.
En caso de que el prestador del servicio (encargo del tratamiento) no cumpla con alguno o algunos de los requisitos anteriores, será responsable de las infracciones que cometa (artículo 12.4 de la LOPD).
¿Qué ocurre si no firmamos el contrato de tratamiento de datos con nuestros prestadores de servicios con acceso a datos?
Si el responsable del fichero no firma un contrato, que contenga los requisitos del apartado anterior, con los prestadores de servicio que tengan acceso a los datos personales que él trata, estará cometiendo una infracción leve (artículo 44.2 d) de la LOPD).
No obstante, y pese que dicha infracción es calificada como leve, puede ser sancionada por la Agencia Española de Protección de Datos (órgano competente) con una multa económica que oscila entre los 900 y 40.000 euros (artículo 45.1 de la LOPD).