Contrato de tratamiento de datos
El contrato de tratamiento de datos es un elemento básico para el cumplimiento de la LOPD. La realidad empresarial en el que cada vez es más necesario contar con empresas externas que realicen tareas altamente especializadas para el día a día, conlleva que cada vez con más frecuencia se subcontraten labores que pueden implicar el acceso por parte de terceros a los ficheros con datos personales de la empresa.
Ejemplos cada vez hay más: backups online, servicios informáticos en la nube, gestoría laboral, servicios de comunicación o marketing, prevención de riesgos, etc … En otro post ya traté los requerimientos legales para alojar datos en la nube, pero en este quería hacer referencia a las consideraciones básicas para identificar este tipo de proveedores, ya los requerimientos básicos para cumplir con la LOPD:
¿Qué proveedores deben firmar el contrato de tratamiento de datos?
Cualquier proveedor que vea, acceda, aloje, manipule o que de alguna manera, tenga acceso a los datos personales que trates en el día a día de tu empresa; debe firmar el contrato. Entre estos datos se incluyen datos de clientes, trabajadores, grabaciones, imágenes, currículums, etc. Los proveedores que no tratan datos pero que acceden a tu empresa, tienen que firmar otro tipo de contrato. Por lo tanto, revisa qué proveedores cumplen estas características, y hazles firmar el contrato antes de que comiencen a acceder a los datos.
¿Cómo debe firmarse el contrato de tratamiento de datos?
Específicamente la LOPD indica que el contrato de tratamiento de datos tiene que firmar por escrito o «en alguna otra forma que permita acreditar su celebración y contenido»; inevitablemente esto nos lleva a plantearnos la cuestión de qué pasa con los contratos o acuerdos que se celebran online.
La aceptación de condiciones online es perfectamente válida pero también genera el problema de cómo demostrar que se ha aceptado y más complicado, que se ha aceptado, ya que como veremos, el contenido de este contrato, está tasado por ley. Algunas recomendaciones: si contratas online un servicio que implica que el proveedor tendrá acceso a tus datos, comprueba que el contrato cumple con la ley y guarda copia del contenido del contrato en el día que el aceptaste.
¿Qué debe incluir el contrato?
El contenido mínimo del contrato puede resumirse en: (1) el proveedor (encargado del tratamiento) únicamente accederá a los datos para prestar el servicio y según las instrucciones del cliente (responsable del fichero); (2) las medidas de seguridad específicas que se aplicarán, en virtud del nivel de seguridad exigible según el tipo de datos, consulta las medidas específicas a implementar aquí (arts. 89 y ss); (3) procedimiento de devolución o destrucción de los datos en caso de resolución o fin del contrato y (4) autorizar las subcontrataciones del servicio, en caso de que sean necesarias para la prestación del mismo.
¿Y si no tengo contrato, qué?
No disponer del contrato firmado, puede suponer una infracción leve de la LOPD y una sanción potencial de hasta 40.000 €, que como vemos es perfectamente evitable con unas mínimas cautelas.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!