Contrato de Acceso a Terceros

¿QUÉ COMPORTA LA INTERVENCIÓN DE TERCEROS EN LA EJECUCIÓN DE SERVICIOS?

La intervención de terceros ajenos a la empresa para desarrollar un determinado servicio es un supuesto habitual en el mercado ya que con la externalización de servicios u outsourcing se consigue mayor optimización de gastos directos al subcontratar servicios que no afectan a la actividad principal de la empresa.

También resulta habitual la comunicación de bases de datos a terceras empresas cuando existe un acuerdo de colaboración o cesión, y cuando interesa que con la cesión el tercero se haga dueño de la información transferida para una determinada finalidad que no entra en competencia.

Es variada la normativa que regula de un modo u otro, según la materia de que se trate, la citada intervención de los terceros en el desarrollo de una prestación de servicios o comunicación de información. En nuestro caso nos centraremos en la intervención de terceros des del punto de vista de la protección de datos de carácter personal, siguiendo la regulación al respecto que encontramos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD), dado que en cualquier intervención de terceros en el desarrollo de un proyecto en el que directa o indirectamente se trate con información personal de personas físicas, es inherente la puesta en juego de la normativa citada de protección de datos.

EL TERCERO EN LA PROTECCIÓN DE DATOS

La LOPD y el RLOPD no pierden de vista la relación entre el responsable del fichero, que sería la empresa principal, y el tercero interviniente en el tratamiento de los datos.

En concreto, la normativa en protección de datos distingue dos tipos de tratamiento de la información personal por parte de terceros:

  • Comunicación o cesión de datos
  • Acceso a datos por cuenta de terceros

Este tipo de relaciones son distintas e implican obligaciones distintas para el tercero, que deben ser debidamente recogidas mediante contrato o documento escrito que permita acreditar su celebración y contenido, tal como indica el artículo 12.2 de la LOPD.

Mientras que en la comunicación de datos el tercero actúa como cesionario, en el acceso a datos por cuenta de terceros, al tercero el RLOPD lo denomina encargado del tratamiento.

Estos dos tipos de relaciones comparten características comunes, como por ejemplo  la  necesidad de aplicar las debidas medidas de seguridad en el tratamiento de los datos personales, de la forma que regula el RLOPD.

La diferencia principal que nos permite distinguir un tipo de tercero de otro es el traslado y asunción de responsabilidades. En una comunicación o cesión de datos el responsable del fichero/cedente comunica, previa información y consentimiento al interesado, los datos personales de uno o varios ficheros para que el cesionario los utilice con una finalidad independiente, decida sobre el tratamiento de la información y actúe por su propia cuenta y riesgo. En esta comunicación de datos el cesionario tomará la posición de responsable del fichero y deberá cumplir con las obligaciones propias de éste.

En cambio, en el acceso a datos por cuenta de terceros, el tercero encargado del tratamiento prestará sus servicios al responsable del fichero y actuará por cuenta y riesgo de dicho responsable, sin que el encargado del tratamiento asuma la condición de responsable del fichero. En este caso las obligaciones del encargado del tratamiento deberán quedar recogidas claramente por escrito mediante contrato, dado que el tercero debe conocer con exactitud las obligaciones a cumplir, sin que pueda decidir a su arbitrio cómo tratar los datos personales.

IMPLICACIONES LEGALES DE LA INTERVENCIÓN DE LOS TERCEROS

Tanto el responsable del fichero como el tercero interviniente en el tratamiento de datos deben conocer la normativa en materia de protección de datos y especialmente los principios generales, los derechos de las personas y las medidas de seguridad, dado que son los conceptos más costosos de cumplir y a la vez los que se llevan mayor número de sanciones.

La LOPD tipifica como infracción la falta de cumplimiento de los deberes formales del tercero establecidos por la ley.

Las infracciones pueden ser de leves a muy graves, y sus sanciones oscilan entre los 900 y los 600.000 euros de multa, según la graduación que interprete aplicable la Agencia Española de Protección de Datos o, en su caso, las autoridades de control de las comunidades autónomas competentes.

Ante incumplimiento contractual, el tercero encargado del tratamiento y/o el cesionario respondería legalmente como lo haría el responsable del fichero. Pero ante la falta de concreción de sus obligaciones o de la identificación del rol de encargado o cesionario, la derivación de responsabilidades podría complicarse bastante. Por ello es importante delimitar claramente cada bloque de obligaciones.

Además, al margen de las infracciones que pueda cometer el tercero desde el punto de vista de la protección de datos, ante un incumplimiento contractual la empresa afectada también podrá iniciar otras vías, según sea el daño y la materia controvertida (derecho civil, mercantil, penal, administrativo). Ello puede ser fácilmente evitable si se emplean las herramientas de prevención adecuadas, como es la formalización de un contrato entre las partes y su efectivo cumplimiento.