Compártelo
El contrato de prestación de servicios
RRHH TECNOLOGÍA

El contrato de prestación de servicios

El contrato que regula la relación entre el responsable del fichero y el encargado del tratamiento deberá constar por escrito, o de alguna otra forma que permita acreditar su celebración.

Deberá contener lo siguiente:

  1. La forma de tratar los datos: el encargado del tratamiento, única y exclusivamente, podrá tratar los datos de carácter personal facilitados por el responsable del fichero conforme a las instrucciones especificadas en el contrato de prestación de servicios.

  2. La finalidad del tratamiento: el encargado del tratamiento no podrá aplicar o utilizar los datos de carácter personal facilitados con otro fin distinto al que figure en dicho contrato.

  3. La prohibición de comunicar los datos: el encargado del tratamiento no cederá, ni comunicará a terceros, ni siquiera para su conservación, los datos personales a los que tenga acceso durante la prestación del servicio.

  4. Las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.

  5. La destrucción o devolución, por parte encargado del tratamiento, de cuantos soportes y documentos que contengan datos de carácter personal, una vez cumplida la prestación. Cuando exista una obligación legal que así lo exija, el responsable del fichero podrá autorizar al encargado del tratamiento a conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con él.

  6. Las consecuencias para el encargado del tratamiento en caso de incumplimiento del contrato: en caso que se destinen los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Además, y si fuera procedente, el contrato deberá reflejar el supuesto de que el encargado del tratamiento recabara datos personales como consecuencia del cumplimiento del objeto del contrato, en cuyo caso, lo hará siempre en nombre del responsable del fichero, informando a los afectados de acuerdo a lo que dispone el artículo 5 de la LOPD y solicitando su consentimiento en los casos y condiciones que establece la Ley Orgánica.

Tipos de prestación de servicios

El RLOPD, en sus artículos 82 y 83, establece diversas situaciones que se pueden presentar a la hora de contratar la prestación de un servicio.

Son las siguientes:

  1. Que el acceso a los datos sea necesario para la prestación del servicio: entonces, el prestador deberá ser considerado encargado de tratamiento y estará sujeto a lo dispuesto en la LOPD (Artículo 12 de la LOPD y 82 del RLOPD).

  2. Que el acceso a los datos no sea necesario para la prestación del servicio: por lo que el prestador no tendrá la consideración de encargado de tratamiento, pero sí será necesario regular su situación (Artículo 83 del RLOPD).

Prestaciones de servicio con acceso a datos

Hoy en día las empresas suelen contratar con frecuencia la realización de servicios por cuenta de terceros, tal y como ocurre con la confección y gestión de nóminas, el mantenimiento de equipos informáticos, el control del acceso físico a las instalaciones, etc. En todos estos supuestos, la empresa que presta estos servicios tendrá la consideración de encargado del tratamiento.

Dentro de este tipo de prestación, el artículo 82 del RLOPD establece diversos supuestos a la hora de realizar la prestación del servicio:

  1. Que el servicio se preste en los locales del responsable de fichero de forma presencial, por lo que no será necesario que los datos personales se transmitan fuera de dichos locales. En este caso, y según lo establecido en el artículo 82.1 del RLOPD, se deberá de tener en cuenta lo siguiente:

    1. En el documento de seguridad del responsable de fichero se deberá recoger dicho acceso presencial a los datos de carácter personal por parte de personal ajeno.

    2. El personal encargado del tratamiento se deberá comprometer al cumplimiento de las medidas de seguridad previstas en dicho documento de seguridad (preferiblemente mediante la firma de un documento en el que se le informe de sus obligaciones, que conservará el responsable de fichero).

    3. La implantación y control de las medidas de seguridad será competencia del responsable del fichero.

  2. Que el servicio se preste en los locales del responsable de fichero, pero requiera el acceso remoto a datos personales por parte del encargado de tratamiento o del personal que realice la prestación. En este caso pueden darse, a su vez, dos situaciones:

    1. Que el acceso remoto a los datos personales conlleve la incorporación de los mismos a sistemas o soportes distintos de los del responsable del fichero. En este caso, el responsable del fichero responderá de las medidas implantadas en el sistema de acceso remoto y el encargado del tratamiento responderá sobre las medidas implantadas en los sistemas o soportes distintos a los del responsable, respetando, en todo caso, las medidas de seguridad dispuestas por el responsable del fichero para el acceso remoto.

    2. Que para la prestación del servicio no sea necesaria la incorporación de los datos personales a sistemas distintos de los del responsable del fichero, en cuyo caso, y de acuerdo con el párrafo segundo del artículo 82.1 del RLOPD, se deberá tener en cuenta lo siguiente:

      1. En la cláusula de protección de datos del contrato deberá constar la prohibición de incorporar los datos personales a otros sistemas distintos a los del responsable del fichero.

      2. En el documento de seguridad del responsable de fichero se deberá recoger dicho acceso remoto a los datos de carácter personal por parte de personal ajeno.

      3. El personal encargado de realizar la prestación del servicio se deberá comprometer al cumplimiento de las medidas de seguridad previstas en dicho documento de seguridad (preferiblemente mediante la firma de un documento en el que se le informe de sus obligaciones, que conservará el responsable de fichero).

      4. Al igual que en el supuesto a), la implantación y control de las medidas de seguridad será competencia del responsable del fichero.

  3. Que el servicio se preste en los propios locales del encargado del tratamiento, ajenos a los del responsable del fichero, en cuyo caso aplicaría el artículo 2 del RLOPD, lo que supondrá que el encargado del tratamiento deberá elaborar un documento de seguridad en los términos exigidos por el RLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento objeto de la prestación y el responsable del mismo, e incorporando las medidas de seguridad a implantar sobre dicho tratamiento.

Prestaciones de servicio sin acceso a datos

Sin embargo, existen momentos en que las empresas van a necesitar la contratación de determinados servicios que no van a requerir el acceso a datos los datos de carácter personal, pero el personal de la empresa encargada de la prestación del servicio sí puede tener un potencial acceso a los mismos.

En estos casos, este tipo de empresas no van a tener la consideración de encargados del tratamiento. Sin embargo, y debido a la posibilidad del acceso a datos que tiene el personal de estas empresas, se hace necesario regular este tipo de prestaciones. Ejemplo claro de este tipo de servicios lo constituyen los contratos de servicios de limpieza de las instalaciones, pero podrán existir más en función de las características y necesidades del responsable del fichero.

En estos casos, el artículo 83 del RLOPD exige una serie de obligaciones al responsable de fichero, que son las siguientes:

  1. Que adopte las medidas de seguridad adecuadas para limitar el acceso de este personal a los datos de carácter personal, a los soportes que los contengan o a los recursos del sistema de información.

  2. Que el contrato de prestación de servicios incluya una cláusula específica que recoja lo siguiente:

    1. La prohibición expresa, para el personal encargado de la prestación del servicio, de acceder a datos de carácter personal.

    2. La obligación de secreto respecto a los datos que dicho personal hubiese podido conocer con motivo de la prestación de servicio.

Máster en
Gestión de e-Sports

RRHH TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
1500 horas
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas mensuales sin intereses
CEUPE, escuela premiada por ofrecer la mejor forma...
CEUPE Centro Europeo de Postgrado recibe el recono...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Viernes, 22 Noviembre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

El pasado mes de octubre, CEUPE llevó a cabo una nueva edición de la Semana Internacional en la vibrante ciudad de Madrid. Este evento es mucho más que un simple encuentro; es una oportunidad única pa...
CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...

EMPRESAS

Si estás pensando en empezar un proyecto, ya sea pequeño o grande, hay algo que no puedes dejar de lado: el análisis de viabilidad. Frecuentemente, la...
Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...

MARKETING

¿Te has preguntado si estudiar un máster en marketing es lo que necesitas para progresar en tu carrera? Elegir estudiar un máster en esta área puede a...
La imagen corporativa de una empresa es el conjunto de elementos visuales y estratégicos que representan su identidad, valores y objetivos ante el púb...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python