Responsabilidad del encargado del tratamiento

Dentro del esquema de funcionamiento de la legislación sobre protección de datos existen varios casos en los que el responsable del fichero encarga a un tercero algún tipo de tratamiento: puede ser desde alojar una base de datos en un servidor, a llevar la contabilidad de una empresa o a contratar un servicio de destrucción documental en soporte papel o digital.

responsable-de-fichero

En estas circunstancias es obligatorio la firma de un contrato entre las partes que fije las condiciones de trabajo y que de forma explícita señale la existencia de datos de personas físicas y delimite la responsabilidad de los firmantes.

En concreto así se dispone en el artículo 20.2 del Reglamento LOPD:

“Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento.”

A su vez el artículo 12. 2 de la Ley Orgánica de Protección de Datos (LOPD) indica:

“La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”

Y resulta fundamental la advertencia del apartado 4:

“En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

En un artículo anterior vimos como una empresa recibía una sanción de 4.000 euros por la aparición de unos documentos con datos personales en la basura que “nadie” recordaba haber tirado. ¿Qué hubiera ocurrido si tal negligencia hubiera sido llevada a cabo por una empresa externa contratada para la destrucción documental? En ese caso, y apelando a los preceptos legales indicados, la empresa hubiera podido trasladar la responsabilidad y por tanto la sanción a la empresa externa.

Es decir, que contratar una empresa seria y profesional en materia de destrucción documental no es sólo una forma de cumplir la legislación sobre privacidad, ayudar al cuidado del medio ambiente y proteger el derecho a la privacidad e sus clientes y contactos, además se convierte en un blindaje que protege a la empresa de los peligros sancionadores de la Agencia de Protección de Datos (AEPD).



1 comentario

Deja un comentario