Larelación contractual que se
contempla en el art. 12 de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD) y
20 de su Reglamento (Real Decreto 1720/2007), consiste básicamente en un
arrendamiento de servicios (esto es, un contrato por el que una persona se
compromete a prestar algún servicio a otra a cambio de un precio), donde, en
este caso, su carácterística principal es que quien los presta actúa por cuenta
de quien los encarga, de suerte que el riesgo o beneficio de los resultados del
servicio siempre recaerá sobre el arrendatario (quien encarga el servicio).
Esto es, aquí el responsable del fichero (arrendatario de los servicios),
continúa teniendo la dirección y la responsabilidad del tratamiento, de modo
que el encargado del tratamiento (arrendador de los servicios) solo estará
legitimado para realizar aquello que se le encomienda por medio del contrato.
No se considerará comunicación de
datos siempre que el acceso sea necesario para la prestación de un servicio al
responsable del tratamiento. Ahora bien, en todo caso, dicha prestación tendrá
que estar regulada en un contrato (contrato de prestación de servicios), por
escrito o en alguna otra forma que permita acreditar su celebración y
contenido, y que establezca expresamente los siguientes aspectos:
1º.- Que el encargado del
tratamiento sólo tratará los datos conforme a las instrucciones del responsable
del tratamiento.
2º.- Que el encargado del
tratamiento no aplicará o utilizará los datos con fin distinto al que figure en
dicho contrato.
3º.- Que el encargado del
tratamiento no comunicará los datos, ni siquiera para su conservación, a otras
personas.
4º.- Las medidas de seguridad de que
nos habla el art. 9 de la LOPD que el encargado del tratamiento está obligado a
implementar (las recoge el art. 81 del Reglamento).
5º.- Que una vez cumplida la
prestación contractual, los datos de carácter personal deberán ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del
tratamiento. (No obstante, el art. 22 del Reglamento expresa como excepciones:
“no procederá la destrucción cuando exista una previsión legal que exija su
conservación, en cuyo caso procederá la devolución de los mismos garantizando el
responsable del fichero dicha conservación”; añadiendo el párrafo 2º que “el
encargado del tratamiento conservará, debidamente bloqueados, los datos en
tanto pudieran derivarse responsabilidades de su relación con el responsable
del tratamiento”).
El acceso a los datos del prestador
del servicio no supone una cesión o comunicación de los mismos, por lo que no
le será aplicable lo dispuesto en el art. 11 de la LOPD. Consecuentemente si el
tercero somete a tratamiento los datos a los que accede para prestar el
servicio, dicho tratamiento no requiere ni la previa información al titular de
los datos ni su consentimiento.
Por ello, el problema mas frecuente
y riesgo mas grave que se plantea en la práctica consiste en el uso ilegítimo
de los datos por parte del encargado que presta el servicio, que se sirve de
los datos para cederlos o alquilarlos en su propio beneficio, sin el
consentimiento del responsable del fichero.
Este supuesto de deslealtad del
prestador del servicio, está previsto en el art. 12.4 de la LOPD y en el art.
20.3 de su Reglamento, al señalar que, en tal caso, el prestador del servicio
(encargado del tratamiento) será considerado como responsable del fichero y, en
caso de denuncia ante la Agencia Española de Protección de Datos por uso no previsto
ni autorizado, la única responsabilidad que podrá exigirse será frente al
encargado del tratamiento desleal.
No obstante y en todo caso, siempre
podrán exigirse responsabilidades por parte del responsable del fichero frente
al encargado del tratamiento por el incumplimiento del contrato de prestación
de servicios, exigiéndose tanto la indemnización de los daños que puedan
derivarse del uso ilegítimo, como del lucro cesante, los beneficios obtenidos o
debidos percibir por parte del encargado en los usos que realizó ilegalmente.
Por otra parte, hay que resaltar que
se traslada al responsable del tratamiento la obligación de velar que el
encargado reúna las garantías para el cumplimiento de la normativa de
protección de datos de carácter personal.
Además, el Reglamento introduce la
posibilidad de la subcontratación de los servicios, exigiendo, expresamente, la
necesidad de obtener la autorización para la subcontratación y siempre y cuando
se cumplan además los siguientes requisitos:
a).- Que se especifiquen en el
contrato los servicios que pueden ser objeto de subcontratación y la empresa
con la que se vaya a subcontratar.
b).- Que el tratamiento de los datos
por parte del subcontratista se ajuste a las instrucciones del responsable del
fichero.
c).- Que el encargado del
tratamiento y la empresa subcontratista formalicen el contrato, en los términos
del art. 20 del Reglamento.
Finalmente, se ha de señalar que en
un contrato de prestación de servicios donde no se reflejen los requisitos que
exige el art. 12 de la LOPD y 21 de su Reglamento (caso de subcontratación), o
simplemente en esta sede no existiera contrato, supondría la comisión de las
siguientes infracciones:
---Para el responsable del fichero,
una infracción muy grave, sancionada con multa de 300.001 a 600.000 euros.
---Para los encargados del
tratamiento (las empresas prestadoras del servicio), una infracción grave,
sancionada con multa de 40.001 a 300.000 euros.
No hay comentarios:
Publicar un comentario