Ley de protección de datos: acceso a datos por cuenta de terceros
Como continuación del BOLETÍN INFORMATIVO anterior, en este número trataremos sobre otro de los principios generales de la protección de datos: el acceso a datos por cuenta de terceros.
El artículo 12.1 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), y el artículo 20.1 del reglamento que la desarrolla (Real decreto 1720/2007, de 21 de diciembre) distinguen la “cesión o comunicación de datos” de la figura del “acceso a datos por cuenta de terceros” o “encargado del tratamiento”. Así pues, dispone que no se considera comunicación de datos el acceso de un tercero a los datos de carácter personal siempre que se cumplan estos requisitos:
- Cuando el acceso sea necesario para la prestación de un servicio al responsable.
- Cuando se cumplan los aspectos formales y de contenido previstos expresamente en el artículo 12 de la LOPD.
- Cuando no se establezca un nuevo vínculo entre el tercero que trata los datos y los titulares de los datos que son objeto de tratamiento por el tercero.
El tratamiento de los datos que se ajuste a estas consideraciones no requiere que el responsable cumpla las obligaciones siguientes:
- Consentimiento para transmitir los datos al tercero o permitirle el acceso a aquellos.
- Información a la persona interesada acerca de cuál es la finalidad de la transmisión o del acceso y sobre el tipo de actividad que el tercero desempeña.
El artículo 12.2 de la LOPD establece los aspectos formales y de contenido que hay que tener en cuenta para formalizar la relación entre el responsable y el encargado del tratamiento:
- Formales: es necesario que haya un contrato escrito o alguna otra forma que permita acreditar su contenido.
- De contenido, por los que el contrato debe recoger expresamente los aspectos siguientes:
- La obligación del encargado del tratamiento de tratar los datos de carácter personal únicamente de acuerdo con las instrucciones dictadas por el responsable.
- La prohibición de aplicarlos o utilizarlos con un fin distinto del que figure en el contrato.
- La prohibición de comunicarlos a terceros, ni siquiera para conservarlos.
- Las medidas de seguridad que deben implementarse sobre los activos y los recursos que participen o intervengan en el tratamiento (equipos informáticos, personas, redes de comunicaciones, instalaciones y locales, etc.).
- La obligación del encargado del tratamiento de devolver o destruir los datos de carácter personal objeto del tratamiento y los soportes y los documentos que los contengan, una vez cumplida la prestación contractual.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también como responsable del tratamiento, por lo que deberá responder de las infracciones en que hubiera incurrido personalmente.
Por último, el artículo 20.2 del reglamento de la LOPD dispone que el responsable debe velar que el encargado del tratamiento reúna suficientes garantías para cumplir las exigencias y las medidas de seguridad establecidas.
Para ampliar esta información, consulte el Código de buenas prácticas en el uso de los sistemas de información y el tratamiento de datos de carácter personal, que está a su disposición en el Área de Seguridad de la Información del Portal del Servicio de Salud, accesible desde la página web www.ibsalut.es/ibsalut/es/profesionales/otic/codigo-de-buenas-practicas.
Todo el equipo de la Oficina de Seguridad le desea
¡FELIZ AÑO!