Empresas externas con acceso a datos


     01/04/2016

 


/2016 | FS Consultores S.L | NEWS - LOPD - Responsable del tratamiento - Encargado de tratamiento - Cesión de datos
 

¿Qué tipos de empresas externas existen que puedan tratar datos de los cuales nosotros somos Responsables del tratamiento?

 
Se llama RESPONSABLE DEL TRATAMIENTO a toda persona física o jurídica, autoridad pública, servicio u organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales.
 
El Responsable del tratamiento, cuando cede datos personales a una empresa externa, debe distinguir que tipo de tratamiento realizará para determinar la responsabilidad adquirida y firmar el contrato de acceso a datos que le corresponda.
 

El tratamiento externo se puede clasificar en 3 tipos:
 
  1. ENCARGADO DEL TRATAMIENTO: empresa que trata datos personales por cuenta del Responsable del tratamiento. 
  2. DESTINATARIO DE DATOS: empresa a la que cedemos datos personales para tratarlos por su cuenta. 
  3. SIN PERMISO DE ACCESO A DATOS: empresa que puede acceder a datos personales de manera accidental o fortuita, sin permiso expreso del Responsable del tratamiento. 
 

¿Qué es un tratamiento de datos?

 
Un tratamiento de datos se define como cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso, cotejo o interconexión, supresión o destrucción.

 

Especificaciones según el tipo de empresa externa 

 

  1. El ENCARGADO DEL TRATAMIENTO, al tratar datos por cuenta del Responsabe, deberá ofrecer garantías suficientes para implementar las políticas técnico-organizativas apropiadas para cumplir la normativa en protección de datos. 
    También deberá formalizar un contrato con el Responsable del tratamiento para determinar sus funciones y el compromiso de confidencialidad exigido tanto con el personal como en posibles cesiones autorizadas a otras empresas externas. 
    Ejemplos de Encargados del tratamiento: gestoría laboral, fiscal o contable; mantenimiento de equipos informáticos, software o videovigilancia; copias de seguridad externos; destrucción de documentos; servicios jurídicos; etc.
  2. Los  DESTINATARIOS DE DATOS, al tratar los datos por su cuenta, se convertirán en Responsables del tratamiento y deberán cumplir la normativa en protección de datos como tales.
    Cuando la cesión de datos no esté regulada por ley, deberán formalizar un contrato con el Responsable del tratamiento que exponga que la cesión es lícita sea porque se ha obtenido el consentimiento de los titulares de los datos o porque lo permite la ley. 
    Ejemplos de Destinatarios de datos: aseguradoras; mutuas de accidentes profesionales; vigilancia de la salud; subcontratas de empleados; etc.
  3. Las empresas SIN PERMISO DE ACCESO A DATOS no están autorizadas a tratar datos, por lo que será el Responsable del tratamiento quien analice los riesgos que puedan existir al realizar el servicio.
    En el caso de determinar que existen riesgos, deberá formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que en caso de acceso de manera accidental o fortuita, se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa. 
    Ejemplos de empresas sin permiso de acceso a datos: servicios de limpieza; extintores; mantenimiento; instaladores; pintores; etc.

     

Josep Aragonés Salvat