El contrato que regula la relación entre el responsable del fichero y el encargado del tratamiento deberá constar por escrito, o de alguna otra forma que permita acreditar su celebración.
Deberá contener lo siguiente:
-
La forma de tratar los datos: el encargado del tratamiento, única y exclusivamente, podrá tratar los datos de carácter personal facilitados por el responsable del fichero conforme a las instrucciones especificadas en el contrato de prestación de servicios.
-
La finalidad del tratamiento: el encargado del tratamiento no podrá aplicar o utilizar los datos de carácter personal facilitados con otro fin distinto al que figure en dicho contrato.
-
La prohibición de comunicar los datos: el encargado del tratamiento no cederá, ni comunicará a terceros, ni siquiera para su conservación, los datos personales a los que tenga acceso durante la prestación del servicio.
-
Las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.
-
La destrucción o devolución, por parte encargado del tratamiento, de cuantos soportes y documentos que contengan datos de carácter personal, una vez cumplida la prestación. Cuando exista una obligación legal que así lo exija, el responsable del fichero podrá autorizar al encargado del tratamiento a conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con él.
-
Las consecuencias para el encargado del tratamiento en caso de incumplimiento del contrato: en caso que se destinen los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Además, y si fuera procedente, el contrato deberá reflejar el supuesto de que el encargado del tratamiento recabara datos personales como consecuencia del cumplimiento del objeto del contrato, en cuyo caso, lo hará siempre en nombre del responsable del fichero, informando a los afectados de acuerdo a lo que dispone el artículo 5 de la LOPD y solicitando su consentimiento en los casos y condiciones que establece la Ley Orgánica.
Tipos de prestación de servicios
El RLOPD, en sus artículos 82 y 83, establece diversas situaciones que se pueden presentar a la hora de contratar la prestación de un servicio.
Son las siguientes:
-
Que el acceso a los datos sea necesario para la prestación del servicio: entonces, el prestador deberá ser considerado encargado de tratamiento y estará sujeto a lo dispuesto en la LOPD (Artículo 12 de la LOPD y 82 del RLOPD).
-
Que el acceso a los datos no sea necesario para la prestación del servicio: por lo que el prestador no tendrá la consideración de encargado de tratamiento, pero sí será necesario regular su situación (Artículo 83 del RLOPD).
Prestaciones de servicio con acceso a datos
Hoy en día las empresas suelen contratar con frecuencia la realización de servicios por cuenta de terceros, tal y como ocurre con la confección y gestión de nóminas, el mantenimiento de equipos informáticos, el control del acceso físico a las instalaciones, etc. En todos estos supuestos, la empresa que presta estos servicios tendrá la consideración de encargado del tratamiento.
Dentro de este tipo de prestación, el artículo 82 del RLOPD establece diversos supuestos a la hora de realizar la prestación del servicio:
-
Que el servicio se preste en los locales del responsable de fichero de forma presencial, por lo que no será necesario que los datos personales se transmitan fuera de dichos locales. En este caso, y según lo establecido en el artículo 82.1 del RLOPD, se deberá de tener en cuenta lo siguiente:
-
En el documento de seguridad del responsable de fichero se deberá recoger dicho acceso presencial a los datos de carácter personal por parte de personal ajeno.
-
El personal encargado del tratamiento se deberá comprometer al cumplimiento de las medidas de seguridad previstas en dicho documento de seguridad (preferiblemente mediante la firma de un documento en el que se le informe de sus obligaciones, que conservará el responsable de fichero).
-
La implantación y control de las medidas de seguridad será competencia del responsable del fichero.
-
-
Que el servicio se preste en los locales del responsable de fichero, pero requiera el acceso remoto a datos personales por parte del encargado de tratamiento o del personal que realice la prestación. En este caso pueden darse, a su vez, dos situaciones:
-
Que el acceso remoto a los datos personales conlleve la incorporación de los mismos a sistemas o soportes distintos de los del responsable del fichero. En este caso, el responsable del fichero responderá de las medidas implantadas en el sistema de acceso remoto y el encargado del tratamiento responderá sobre las medidas implantadas en los sistemas o soportes distintos a los del responsable, respetando, en todo caso, las medidas de seguridad dispuestas por el responsable del fichero para el acceso remoto.
-
Que para la prestación del servicio no sea necesaria la incorporación de los datos personales a sistemas distintos de los del responsable del fichero, en cuyo caso, y de acuerdo con el párrafo segundo del artículo 82.1 del RLOPD, se deberá tener en cuenta lo siguiente:
-
En la cláusula de protección de datos del contrato deberá constar la prohibición de incorporar los datos personales a otros sistemas distintos a los del responsable del fichero.
-
En el documento de seguridad del responsable de fichero se deberá recoger dicho acceso remoto a los datos de carácter personal por parte de personal ajeno.
-
El personal encargado de realizar la prestación del servicio se deberá comprometer al cumplimiento de las medidas de seguridad previstas en dicho documento de seguridad (preferiblemente mediante la firma de un documento en el que se le informe de sus obligaciones, que conservará el responsable de fichero).
-
Al igual que en el supuesto a), la implantación y control de las medidas de seguridad será competencia del responsable del fichero.
-
-
-
Que el servicio se preste en los propios locales del encargado del tratamiento, ajenos a los del responsable del fichero, en cuyo caso aplicaría el artículo 2 del RLOPD, lo que supondrá que el encargado del tratamiento deberá elaborar un documento de seguridad en los términos exigidos por el RLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento objeto de la prestación y el responsable del mismo, e incorporando las medidas de seguridad a implantar sobre dicho tratamiento.
Prestaciones de servicio sin acceso a datos
Sin embargo, existen momentos en que las empresas van a necesitar la contratación de determinados servicios que no van a requerir el acceso a datos los datos de carácter personal, pero el personal de la empresa encargada de la prestación del servicio sí puede tener un potencial acceso a los mismos.
En estos casos, este tipo de empresas no van a tener la consideración de encargados del tratamiento. Sin embargo, y debido a la posibilidad del acceso a datos que tiene el personal de estas empresas, se hace necesario regular este tipo de prestaciones. Ejemplo claro de este tipo de servicios lo constituyen los contratos de servicios de limpieza de las instalaciones, pero podrán existir más en función de las características y necesidades del responsable del fichero.
En estos casos, el artículo 83 del RLOPD exige una serie de obligaciones al responsable de fichero, que son las siguientes:
-
Que adopte las medidas de seguridad adecuadas para limitar el acceso de este personal a los datos de carácter personal, a los soportes que los contengan o a los recursos del sistema de información.
-
Que el contrato de prestación de servicios incluya una cláusula específica que recoja lo siguiente:
-
La prohibición expresa, para el personal encargado de la prestación del servicio, de acceder a datos de carácter personal.
-
La obligación de secreto respecto a los datos que dicho personal hubiese podido conocer con motivo de la prestación de servicio.
-