Protección de datos: se acerca el 25 de mayo
Si su empresa contrata a un tercero para que le preste un servicio que comporta acceder a datos personales, es obligatorio que firmen un contrato por escrito. Además, en esta materia hay cambios a partir del próximo 25 de mayo.
Redactado por Apuntes&Consejos
Procesando solicitud...
Servicios con acceso a datos
Datos personales. La normativa protege los datos personales (cualquier información que identifica o hace posible la identificación de una persona física: su nombre y apellidos, DNI...). Y por eso se establecen una serie de obligaciones que su empresa debe cumplir cuando obtenga y trate datos personales. Pues bien:
-Una de estas obligaciones se aplica cuando usted contrata a un tercero para que le preste un servicio para el cual es necesario acceder a datos personales que tiene su empresa.
-Esto sucede muy frecuentemente. Por ejemplo, cuando contrata a una gestoría para que confeccione las nóminas de sus empleados, o a una empresa de informática para que se encargue del mantenimiento de sus ordenadores.
Contrato. En estos casos, su empresa es la “responsable” del tratamiento de los datos, y el tercero que accede a éstos para prestarle el servicio es el “encargado” del tratamiento. Pues bien, ahora ya es obligatorio que ambas partes suscriban un acuerdo de protección de datos. Pero a partir del 25 de mayo se aplica un nuevo reglamento europeo que introduce ciertas modificaciones.
¿Qué obligaciones tiene?
Reglamento. Lo primero que debe hacer es elegir a encargados que ofrezcan garantías de cumplir la normativa de protección de datos. Dado que aún no existe una certificación o código de conducta para acreditar este extremo, exija que el encargado se comprometa (en el contrato indicado) a cumplir el nuevo reglamento, y pídale un documento firmado por el asesor que le lleve estos temas conforme cumple esta normativa.
Contenido. A partir del próximo mes de mayo también hay cambios con relación al contenido del contrato a firmar en estos casos. En dicho contrato (que debe constar por escrito) se debe indicar, entre otros extremos:
-Que los datos sólo se tratarán conforme a las instrucciones del responsable del fichero o del tratamiento y que no se utilizarán con un fin distinto al establecido en el contrato.
-Que los datos no se comunicarán, ni para su conservación, a otras personas, y que quienes los traten respetarán su confidencialidad. También se debe establecer qué medidas de seguridad debe poner en marcha el encargado.
Contratos firmados
Contrato. Por tanto, si contrata a un tercero para que le preste un servicio que implique acceso a datos firme este contrato según las exigencias de la nueva normativa. Respecto a los contratos que ya tenga firmados:
-El proyecto de nueva ley española de protección de datos (que está previsto que entre en vigor antes del 25 de mayo) establece que los contratos firmados antes del 25 de mayo seguirán vigentes hasta su vencimiento; y si el contrato es de duración indefinida (como sucede en muchos casos), hasta mayo del año 2022.
-No obstante, es aconsejable que adapte ya dichos contratos a las nuevas exigencias (firmando un nuevo contrato o un anexo que recoja los cambios indicados).
Relación de menciones que hay que incluir en el contrato entre responsable y encargado
El contrato de protección de datos que debe regular la relación entre el responsable y el encargado debe constar por escrito y contener, como mínimo, los siguientes puntos o menciones:
• Que los datos sólo se tratarán conforme a las instrucciones del responsable del fichero o del tratamiento.
• Que los datos no se utilizarán con un fin distinto al establecido en el contrato.
• Que los datos no se comunicarán, ni para su conservación, a otras personas.
• Que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad.
• Las medidas de seguridad a implementar por el encargado del tratamiento.
• Que el encargado solicitará la autorización del responsable para recurrir a otro encargado (subencargado) y suscribirá con éste un acuerdo con las mismas obligaciones de protección de datos.
• Que el encargado asistirá al responsable para que éste pueda cumplir con su obligación de responder al ejercicio de los derechos de los interesados.
• Que el encargado deberá poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y contribuir a la realización de auditorías, incluso inspecciones, por parte del responsable o de otro auditor autorizado por el responsable.
• Que, una vez cumplida la prestación contractual, los datos de carácter personal serán destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
