Una de las preguntas clave que nuestros clientes tienen que responder cuando realizamos un proyecto de consultoría en materia de protección de datos es la siguiente: ¿dispone usted o su empresa de algún asesor o profesional externo que acceda a sus datos para prestarle un servicio?
Siempre se viene a la cabeza el asesor fiscal y laboral, pero en realidad pueden darse bastantes situaciones en la que entidades o profesionales externos manejen datos, con la consecuente obligación de establecer un contrato de acceso a los datos por cuenta de terceros que detalle el servicio prestado, lugar donde se desarrollará el servicio, los ficheros a los que accede, y medidas de seguridad exigidas, todo ello en estricto cumplimiento del art. 12 e la LOPD.
Es lo que llamamos un encargado del tratamiento, que definimos como la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.Por ello y a titulo ilustrativo queremos poner ejemplos de este tipo de relaciones entre responsables y encargados del tratamiento:
Es lo que llamamos un encargado del tratamiento, que definimos como la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.Por ello y a titulo ilustrativo queremos poner ejemplos de este tipo de relaciones entre responsables y encargados del tratamiento:
- Asesor Fiscal y Laboral: la relación de asesoramiento fiscal, laboral, contable es ejemplo más claro de relación entre responsable y encargado del tratamiento que deberá de regularse por medio de un contrato de acceso a los datos por cuenta de terceros del art. 12 LOPD.
- Informáticos: ya sea, los que han diseñado cualquiera de los miles de programas de gestión, el programador de la página web, los que dan soporte para el hosting, los que llevan el mantenimiento del software y hardware de la entidad, entendiendo siempre que puedan acceder a datos personales en el desempeño de sus funciones.
- Laboratorios: para determinadas actividades sanitarias, clínicas dentales, centros médicos, se suele disponer de laboratorios protésico dentales o de análisis clínicos, si para los encargos relacionados con su actividad se les ceden datos de los pacientes sería otro ejemplo más de encargado del tratamiento.
- Profesionales autónomos laborales dentro de las empresas: los trabajadores autónomos de las entidades será considerados también encargados del tratamiento, como ejemplo podemos poner los médicos autónomos que pasan consulta en policlínicas, abogados en despachos multidisciplinares, comerciales autónomos, etc… en definitiva serian todos los trabajadores que no están dentro del régimen general de trabajadores dados de alta como tales en la entidad.
- Vigilancia y seguridad: si nuestra entidad dispone de videovigilancia y/o seguridad y el control, gestión y mantenimiento de esas funciones e imágenes las lleva una entidad especializada, estaríamos ante otro ejemplo de encargado del tratamiento.
- Servicios jurídicos: los abogados que acceden a datos personales en un servicio continuado de asesoramiento jurídico relacionado con clientes, trabajadores, proveedores, suelen ser también encargados del tratamiento.
- Auditores de cuentas: el acceso a toda la información contable por parte de auditores de cuentas supone un claro ejemplo de acceso a los datos por cuenta de terceros.
- Marketing: si utiliza la entidad empresas especializadas en marketing que tengan acceso a la base de datos de los clientes para realizar las campañas comerciales, segmentación, encuestas, segmentación, nuevamente estaríamos ante una relación entre responsable y encargado del tratamiento.
- Departamento de Atención al cliente: muchas entidades externalizan las centralitas de atención al cliente, como por ejemplo los corredores de seguros, es por ello que cuando estas entidades externas accedan a la base de datos de los clientes se convierten en encargados del tratamiento.
¿Destacarías algún otro servicio que implique acceso a los datos?
José Luis Fernández Peña
Auditor / Consultor en GrupoIWI Protección de Datos