You are here

Obligaciones de los encargados de tratamiento en el marco de la LOPD

Con el término encargado de tratamiento, la Ley Orgánica 15/1999 de Protección de Datos –en adelante LOPD- en su artículo 3.g) hace referencia a aquella “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. El Reglamento 1720/2007 que desarrolla la LOPD, en su artículo 5.l.i, amplía esta definición al señalar que entre encargado y responsable existe una relación jurídica que los vincula, delimitando el ámbito de actuación del encargado en la prestación del servicio.

La definición del encargado de tratamiento es muy amplia, incluyendo a colaboradores autónomos, asesores laborales, empresas de marketing, etc.

Los encargados de tratamiento también tienen obligaciones respecto a la protección de datos, dejando claro una vez más que de lo único que están eximidos es de notificar los ficheros de los que son encargados, siendo esta una obligación exclusiva del responsable del fichero. Entre sus obligaciones destacan:

1. En primer lugar los encargados han de tener firmado un contrato tratamiento de datos con los responsables de ficheros, en el que se concretará la relación entre ambos, debiéndose fijar las medidas de seguridad a adoptar (art. 12.1 LOPD). Con carácter general si el responsable ha adoptado medidas de seguridad de nivel alto, en principio el encargado deberá adoptar las mismas que las impuestas al primero.

2. También deberá identificarse en el contrato el período de vigencia del encargado, así como los ficheros que este trate de modo exclusivo.

3. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

4. Si el servicio prestado por el encargado de tratamiento fuera desarrollado en su propio local, ajeno al del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos en el artículo 88 del RD 1720/2007.

5. Una vez cumplida la prestación, el encargado deberá destruir o devolver al responsable de tratamiento los datos de carácter personal.

6. En caso de que el encargado destine los datos a otra finalidad diferente de la pautada por el responsable, será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.

Para más información, puede consultar: www.agpd.es

logo_inverse

...la página se está cargando...