Accesos por cuenta de terceros versus cesión de datos. Parte II

Martes, 22 Diciembre 2015 10:06
Publicado en Blog
Escrito por  Visto 3095 veces
Valora este artículo
(0 votos)

Si en el anterior post veíamos, someramente, cómo determinar si estamos ante accesos por cuenta de terceros o una cesión de datos, hoy vamos a describir las obligaciones derivadas en cada caso:

1. Acceso a datos por cuenta de terceros:

En los casos de acceso a datos por cuenta de terceros, la Ley Orgánica de Protección de Datos nos obliga a la firma de un contrato por escrito. Para acreditar su celebración y contenido, dicho contrato deberá contener los siguientes extremos (art. 12 de la LOPD):

a. Que el encargado de tratamiento sólo realizará el tratamiento de los datos de carácter personal conforme a las instrucciones del responsable del fichero.

b. Que no utilizará ni aplicará los datos de carácter personal con fines distintos a los que figuren en contrato. Si no se cumpliese esta estipulación, la propia normativa indica que el encargado de tratamiento será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.

c. Que nos los comunicará, ni siquiera para su conservación, a otras personas. En este punto nos podemos preguntar ¿esto quiere decir que no se puede subcontratar?Para saberlo debemos recurrir al artículo 21 del RDLOPD. En resumen, el precepto establece que a priori el encargado de tratamiento no podrá subcontratar sin que el responsable del fichero se lo hubiera encomendado. Las excepciones :

i. que el primero obtenga el consentimiento del segundo.
ii. que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.

d. Qué medidas de seguridad se deben cumplir atendiendo a la tipología de datos a tratar. En este punto nos gustaría indicar que tal y como ha manifestado la propia Agencia Española de protección de datos: "no basta con una mera referencia al nivel de medidas a satisfacer, deben definirse las condiciones de seguridad concretas", es decir, en el contrato deberán estar detalladas todas y cada una de las concretas medidas de seguridad a adoptar.

Y por último:

e. Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero. A este respecto, existe la excepción establecida en el artículo 22 del RDLOPD 1720/200 "No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación (...) en este caso, el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento."

En un próximo artículo, además de hablar de las obligaciones que existen ante una cesión de datos, hablaremos de la validez de los contratos, en materia de protección de datos, celebrados a distancia.

Continúa aquí.

Tamara Morales Martín

Abogada especialista en Nuevas Tecnologías y Protección de Datos.

Directora de PRODAT en Castilla y León

Sitio Web: prodat.es/castilla-y-leon.html
Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 08 Enero 2016 10:22

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal