27 Dic ¿Que es Acceso a Datos por cuenta de terceros?
En este artículo se pretende dar respuesta a preguntas como ¿en qué consiste un acceso a datos por cuenta de terceros? ¿Qué figuras pueden intervenir en este proceso? ¿qué es un encargado del tratamiento?. En primer lugar, hay que ver cómo define la LOPD a las personas que interviene en este proceso. Por un lado está el responsable del fichero, que será “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento“. Por otro lado se define el encargado de tratamiento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“.
Por lo tanto y de acuerdo con estas definiciones inherentes al concepto de acceso a datos por cuenta de terceros la condición de responsable o encargado de tratamiento se delimita en virtud de la capacidad de decisión sobre la finalidad, contenido o uso del tratamiento que ostentará el responsable, no correspondiendo dicha potestad al encargado, habida cuenta cuenta del hecho de que éste se limitará a actuar en virtud de las instrucciones conferidas por el responsable del tratamiento. Además habrá que tener en cuenta que de acuerdo con el artículo 5.1.i) del RLOPD se conocerá como encargado de tratamiento “la persona física o jurídica, pública o privada, u órgano administrativo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio“.
La figura de encargado de tratamiento, se corresponde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de manera que en aquellos supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, y además dicho acceso no puede considerarse como una cesión o comunicación de datos. En este sentido, el artículo 12.1 de la LOPD establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“.
Las funciones que con mayor frecuencia externalizan las empresas y que consecuentemente se encuadran dentro del concepto acceso a datos por cuenta de terceros, son las relativas al asesoramiento legal y fiscal, entre las que se incluye la gestión de personal y elaboración de nóminas, las actividades de mantenimiento informático, la formación y en menor medida, las de publicidad y gestión comercial. Además de todas estas actividades, cada vez tienen más peso las prestaciones de servicios de hosting, de destrucción de documentos o de sistemas de geolocalización.
En este sentido y dentro de esta línea, en la definición de encargado de tratamiento, hay que tener en cuenta la sentencia de la Audiencia Nacional de 20 de septiembre de 2002, según la cual ” existe encargo de tratamiento cuando la transmisión o cesión de los datos está amparada en la prestación de un servicio que el responsable del tratamiento recibe de una empresa externa o ajena a su propia organización, y que le ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado“.
La prestación de este tipo de servicios, se debe hacer mediante un contrato escrito y firmado por el responsable del fichero y el encargado del tratamiento.
