Contrato de tratamiento de datos

El contrato de tratamiento de datos es un elemento básico para el cumplimiento de la LOPD. La realidad empresarial en que cada vez es más necesario contar con empresas externas que lleven a cabo tareas altamente especializadas para el día a día, conlleva que cada vez con más frecuencia se subcontraten labores que pueden implicar el acceso por parte de terceros a los ficheros con datos personales de la empresa. Ejemplos cada vez hay más: backups online, servicios informáticos en la nube, gestoría laboral, servicios de comunicación o marketing, prevención de riesgos, etc…En otro post ya traté los requerimientos legales para alojar datos en la nube, pero en este quería hacer referencia a las consideraciones básicas para identificar este tipo de proveedores, ya los requerimientos básicos para cumplir con la LOPD.

Contrato de tratamiento de datos por cuenta de terceros
Contrato de tratamiento de datos por cuenta de terceros

¿Qué proveedores deben firmar el contrato de tratamiento de datos?

Cualquier proveedor que vea, acceda, aloje, manipule o que de algún modo, tenga acceso a los datos personales que traten en el día a día de tu empresa; debe firmar el contrato. Entre estos datos se incluyen datos de clientes, trabajadores, grabaciones, imágenes, currículums, etc… Los proveedores que no tratan datos pero que acceden a tu empresa, deben firmar otro tipo de contrato. Por tanto, revisa qué proveedores cumplen estas características, y hazles firmar el contrato antes de que empiecen a acceder a los datos.

 ¿Cómo debe firmarse el contrato?

Específicamente la LOPD indica que el contrato de tratamiento de datos debe firmarse por escrito o “en alguna otra forma que permita acreditar su celebración y contenido”; inevitablemente esto nos lleva a plantearnos la cuestión de qué pasa con los contratos o acuerdos que se celebran online. La aceptación de condiciones online es perfectamente válida pero también genera el problema de cómo demostrar que se ha aceptado y más complicado, qué se ha aceptado, ya que como veremos, el contenido de este contrato, está tasado por ley. Algunas recomendaciones: si contratas online un servicio que implica que el proveedor va a tener acceso a tus datos, asegúrate que el contrato cumple con la ley y guarda copia del contenido del contrato en el día que lo aceptaste.

 ¿Qué debe incluir el contrato?

El contenido mínimo del contrato puede resumirse en: (1) el proveedor (encargado del tratamiento) únicamente accederá a los datos para prestar el servicio y según las instrucciones del cliente (responsable del fichero); (2) las medidas de seguridad específicas que se aplicarán, en virtud del nivel de seguridad exigible según el tipo de datos, consulta las medidas específicas a implementar aquí (arts. 89 y ss); (3) procedimiento de devolución o destrucción de los datos en caso de resolución o fin del contrato y (4) autorizar las subcontrataciones del servicio, en caso que sean necesarias para la prestación del mismo.

 Y sino tengo contrato ¿qué?

No disponer del contrato firmado, puede suponer una infracción leve de la LOPD y una sanción potencial de hasta 40.000 €, que como vemos es perfectamente evitable con unas mínimas cautelas.

La legalidad de tu empresa,
en las mejores manos


93 540 43 32