Guías prácticas de la LOPD (III): servicios externos

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

En el contrato citado deberá establecerse expresamente que:

  • El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable de los datos.
  • No los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
  • Se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

La clave del asunto reside en la ya citada obligación que marca el Reglamento de la LOPD de "velar" porque este encargado del tratamiento cumpla la LOPD, que no es sino la aplicación a un campo tan moderno como las nuevas tecnologías de unos antiquísimos (derecho romano) conceptos jurídicos como son la culpa "in eligiendo" e "in vigilando", es decir, la responsabilidad que recae sobre la entidad que tiene datos de carácter personal cada vez que "elige" a otra persona física o jurídica para realizar determinados trabajos sobre esos datos.

Hay que tener en cuenta que en el caso de que esta tercera empresa, la encargada del tratamiento, cometa, por error, omisión o mala fe, cualquier vulneración de la LOPD con los datos que le hemos cedido que pueda suponer una sanción por parte de la Agencia Española de Protección de Datos (AEPD), corremos el riesgo de que la AEPD nos "rebote" dicha sanción multando también al responsable de los datos por no haber "velado" correctamente por que el encargado del tratamiento reuniera las garantías para el cumplimiento de la protección de datos.

El contrato de tratamiento actuará como un "escudo protector" frente a esa posible sanción permitiéndonos demostrar a la AEPD que sí hemos cumplido con el deber de elegir y vigilar correctamente hasta donde llegan nuestras posibilidades a quien hemos encargado la realización de determinados trabajos con nuestros datos.

Por lo tanto, en resumen, cada vez que una pyme se plantee la posibilidad de subcontratar cualquier servicio externo que suponga un acceso a datos de carácter personal, deberá estudiar, además de los componentes tecnológicos y económicos de las diferentes ofertas que tenga sobre la mesa, los aspectos legales referentes a la protección de datos y exigir en especial que en el contrato de prestación de servicios a firmar se recojan expresamente los condicionantes exigidos por la LOPD.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

También te puede gustar

Portada de Pymes y Autonomos

Ver todos los comentarios en https://www.pymesyautonomos.com

VER 0 Comentario