Contratacion de prestacion de servicios: articulo 12 de la LOPD
La contratación y prestación de servicios supone en muchos casos facilitar a un tercero acceso a la información y activos de nuestra empresa.
Para protegernos frente a los riesgos, existe un extenso marco legal y normativo destinado a defender los intereses del cliente y del proveedor, además de ciertas recomendaciones que conviene seguir.
Con los acuerdos y contratos se sientan las bases de la relación comercial entre ambos, tanto en los elementos relacionados con la gestión de la información y el propio servicio: niveles de calidad esperados, cómo se debe tratar la información que se maneje durante la prestación del servicio, datos personales, etc., como en otros de diferente naturaleza: penalizaciones, facturación y plazos de pago, garantías, etc.
Contrato de confidencialidad.– Cuando para la prestación del servicio el proveedor requiere acceso a nuestra información, debemos ser conscientes de que estamos poniendo en manos de terceros datos que pueden ser sensibles para nuestra empresa. Por ejemplo, es posible que nuestro proveedor requiera acceder a información de nuestros empleados o clientes, a los datos de facturación, planes de negocio, contabilidad, compras, propuestas económicas a clientes, etc.
Si bien este acceso es necesario para desempeñar el servicio, también lleva asociado el riesgo de que dicha información se difunda, tanto por accidente como intencionadamente.
Es vital que exista un compromiso por parte del proveedor de que:
No revelará a terceros la información a la que tenga acceso durante la prestación del servicio.
Establecerá las medidas de seguridad necesarias para protegerla. Por ejemplo, restringir el acceso a nuestra información exclusivamente a los empleados involucrados, implantar medidas técnicas frente a potenciales atacantes, seguir las pautas legales obligatorias, etc.
Para más información puede consultar con su oficina más proxima de PRODAT o bien en el 918274351
Para formalizar dicho compromiso, que protege la información sensible frente a fugas o robos, se debe firmar un contrato de confidencialidad. Este contrato también se conoce como NDA, por las siglas en inglés de Non-Disclosure Agreement. También es posible añadir cláusulas específicas a un contrato de servicios.
Por norma general será necesario firmar dos copias en todas las hojas por ambas partes. Debemos guardar una copia del contrato de confidencialidad firmado por el proveedor. Este contrato garantiza que éste, y por extensión todos los trabajadores implicados en el servicio, guardará secreto respecto de la información a la que pueda acceder durante la prestación.
Los puntos que debe contemplar al menos un contrato de confidencialidad son:
El nombre y datos del proveedor. Es decir, definir quién accederá a información confidencial.
Definir en el contrato qué se considera confidencial: qué información se encuentra protegida por el acuerdo.
Pueden existir excepciones, como la información que el proveedor conociera de antemano, o aquella que sea pública o que haya obtenido de fuentes distintas al propio cliente.
Duración de la relación de confidencialidad. Durante qué período de tiempo debe mantenerse esta relación, que en general será superior al tiempo de prestación del servicio.
También deben fijarse las medidas que el proveedor debe llevar a cabo cuando finalice la prestación del servicio: destruir adecuadamente la información a la que ha accedido mientras ha durado el servicio, o la obligación de devolverla.
Este acuerdo también se utiliza para establecer restricciones al uso de la información por el proveedor, e indicar las medidas de seguridad que el proveedor deberá aplicar a la información, siempre de manera proporcional al objeto del contrato.
Por último, en caso de ser necesario, el contrato debe indicar la jurisdicción legal a la que se acoge cada una de las partes, para su resolución en caso de problemas durante o después de la prestación.
Siempre que en la información accedida por el proveedor no haya datos de carácter personal, aspecto que se trata en el siguiente punto, este contrato no es obligatorio por ley. Sin embargo es muy recomendable que se establezca, sin olvidar que no sustituye a otras medidas de seguridad que es necesario aplicar.
En el caso de que seamos nosotros el servicio contratado, debemos también requerir este tipo de contratos de confidencialidad, ya que transmite al cliente una sensación de seguridad y garantiza que cualquier información de nuestra empresa que se vea intercambiada durante el servicio estará protegida por el acuerdo.
Contrato de acceso a datos personales
En ocasiones, la prestación del servicio implica proporcionar al proveedor acceso a datos de carácter personal de los que como empresa somos responsables. Por ejemplo: datos de los empleados, clientes, proveedores, y cualquier dato personal que gestionemos en nuestras actividades corporativas.
En este caso, estamos dando acceso a un tercero a información especialmente sensible, que puede ser difundida accidental o intencionadamente sin nuestro consentimiento, y cuya difusión implica repercusiones legales y de imagen.
Los datos personales son información de una naturaleza muy específica, cuya manipulación se encuentra regulada por la Ley Orgánica de Protección de Datos (LOPD).
Por tanto, cuando la prestación del servicio vaya a requerir que el proveedor acceda a datos personales, el artículo 12 de la LOPD indica que se debe firmar un contrato de acceso a datos entre las partes. Este contrato tiene una finalidad similar al contrato de confidencialidad, pero es obligatorio, está restringido a los datos personales y su contenido básico está establecido por ley.
Concretamente, el punto 2 del artículo 12 indica:
«La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. «
Los detalles acerca de las figuras de la LOPD pueden obtenerse del bloque temático de cumplimiento legal. No obstante, a los efectos que nos ocupa, el responsable del tratamiento somos nosotros (el cliente) y el encargado del tratamiento es el proveedor que tiene acceso a esos datos personales durante la prestación del servicio.
Por ejemplo, si contratamos a una gestoría para que elabore las nóminas de nuestra empresa, el responsable somos nosotros como empresa y el encargado del tratamiento la gestoría. El contrato de acceso a datos debe contener:
Las instrucciones bajo las cuales la asesoría debe tratar los datos personales a los que va a tener acceso.
La finalidad con el que se lleva a cabo dicho tratamiento. En el ejemplo, la realización de las nóminas del personal.
Las medidas de seguridad que el proveedor está obligado a cumplir para acceder a los datos. Por ejemplo, realizar copias de seguridad para evitar pérdidas de información o cifrar las comunicaciones entre ambos.
Estas medidas serán técnicas y organizativas, con el objetivo de evitar que sean accedidos sin autorización o perdidos. Es tan importante que un historial médico no se difunda como que no se pierda.
Es importante destacar que legalmente siempre seremos el responsable último si se produce una pérdida o difusión de los datos personales, por lo que debemos velar por la aplicación de las medidas de seguridad.
A la finalización de la prestación del servicio, el proveedor está legalmente obligado a devolvernos los documentos y soportes que contengan datos de carácter personal, o bien destruirlos adecuadamente (tanto copias en papel como en soportes digitales).
Debemos tener en cuenta que la firma de este contrato de acceso a datos (también llamado contrato del artículo 12 de la LOPD) no supone un eximente ni una descarga de responsabilidad sobre el proveedor. La empresa es la responsable de los datos personales de sus empleados, clientes, proveedores, etc. Si se pierden o difunden, aunque sea por culpa de un proveedor, las consecuencias serán para la empresa.
Por tanto, no sólo es obligatorio, sino que es necesario que velemos porque el proveedor aplique las medidas de seguridad necesarias para proteger los datos que le confiemos. ( Video e Información Extractada de la web de INCIBE)
Para más información puede consultar con su oficina más proxima de PRODAT o bien en el 918274351
