Un contrato LOPD debe excluir la probabilidad de que los datos puedan ser transmitidos por el receptor a entidades no relacionadas por el contrato, a no ser que por imposición del contrato se obligue a esos terceros a respetar todos los fundamentos de protección de datos.
Si una empresa especializada en consultoría de protección de datos, auditorías o un organismo de certificación o normalización se ocupase de la verificación de un modo externo de estos principios de protección de datos, la confianza mejoraría.
En caso de que la persona a la que hacen referencia los datos tenga algún problema como consecuencia de incumplir la protección de datos personales reflejada en las cláusulas LOPD, es complicado cerciorarse de que la queja del interesado es convenientemente investigada. Las personas encargadas de la supervisión en la Unión Europea pueden experimentar inconvenientes prácticos durante las investigaciones.
Proteger estos datos mediante contratos es lo más lógico en redes internacionales, como las reservas de billetes de avión o las tarjetas de crédito, que tienen un gran volumen de transferencias de datos muy repetitivas. Estas empresas son pocas, aunque muy grandes, y trabajan en sectores sujetos a regulación y supervisión públicas.
Otra circunstancia en la que es interesante utilizar contratos es en la transferencia de datos entre entidades o sucursales de un mismo grupo empresarial.
Los países donde las competencias de los poderes públicos para obtener el acceso a la información son mayores de lo estipulado en las normas de protección de derechos humanos, no son un destino seguro para transferencias regidas por cláusulas contractuales.
Te contamos cómo cumple un empresario con la Ley Orgánica de Protección de Datos
Lo primero que debe hacer es implementar una serie de normas de actuación, medidas, cláusulas, formularios y procedimientos que aseguren el cumplimiento con la garantía total de los derechos fundamentales y la intimidad de los ciudadanos.
Las acciones que se pueden emprender son diferentes en cada organización, por lo tanto, el tratamiento de datos personales debe ser diferente y adecuado al tipo y origen de los datos, así como a las características del tratamiento, al soporte y al almacenaje de los datos.
Para que el empresario pueda ajustarse al cumplimiento de la LOPD debe tener en cuenta la comunicación de datos, la inscripción de ficheros, la calidad y seguridad de los datos. Así como el deber de información, los datos protegidos especialmente, el consentimiento de los afectados, el acceso de datos por parte de terceros, la comunicación y la transferencia internacional de datos, el deber de secreto y el ejercicio de los derechos de arco.
Todos los ficheros de una empresa deben estar integrados en el Registro General de Protección de Datos para que sean públicos y sean fácilmente accesibles para realizar consultas por parte de cada uno de los interesados. A tales efectos, los empresarios deben notificar a la Agencia Española de Protección de Datos, mediante un formulario de notificaciones telemáticas a la misma.
Cuando la agencia comprueba que la comunicación cumple con todos y cada uno de los requisitos, aceptará la inscripción en el Registro y otorgará un código de inscripción al empresario.
El artículo 4 de la Ley Orgánica de Protección de Datos obliga al empresario a tratar los datos acorde al cumplimiento de las reglas que te citamos a continuación:
– Se podrán recoger datos con carácter personal que no se obtengan por medios ilícitos o fraudulentos.
– Solamente se recogerán datos adecuados y personales relacionados con la finalidad de su tratamiento.
– Se utilizarán los datos únicamente relacionados con el objetivo que propició su recogida.
– Los datos deberán estar actualizados para que sean realmente exactos y veraces.
– Una vez los datos no sean necesarios para el fin en que fueron recogidos automáticamente, serán cancelados.
– El empresario debe almacenar los datos de forma que el titular de dichos datos pueda ejercer el acceso a los mismos si lo considera oportuno.
Para que se pueda cumplir este fundamento, los empresarios deben diseñar unos procedimientos de recogida, tratamiento y almacenamiento de datos que cumplan las reglas que componen la denominada calidad de los datos.
Conoce los requisitos o cláusulas LOPD
El artículo 12.2 de la LOPD regula las condiciones que se deben reseñar en el contrato de tratamiento de datos. Es conveniente indicar que sería totalmente acertado introducir en el contrato de prestación de servicios que se suscribe entre las partes una cláusula que pueda recoger los requisitos sin que haya que proceder a la firma de un contrato independiente.
El contrato debe estipular las medidas de seguridad que se reflejan en el artículo 9 de la misma Ley y que el responsable del tratamiento de los datos debe implementar.
El artículo 12.3 expone que, una vez finalizada la prestación a la que hace referencia el contrato, los datos personales se deben destruir o ser devueltos al responsable del tratamiento, así como cualquier soporte o documento que contenga algún dato de carácter personal con la finalidad del tratamiento.
Por consiguiente, los requerimientos son los que te contamos:
– El prestador de servicio debe utilizar los datos que le facilita el cliente con el único fin para el que haya sido autorizado como puede ser mantenimiento informático, asesoramiento fiscal, realizar nóminas, etcétera.
– En relación a las medidas de seguridad deben tener el mismo nivel de igualdad por el encargado del tratamiento que el responsable del fichero. Es decir, si el responsable del fichero da un tratamiento de datos de nivel alto el encargado del tratamiento debe establecer esas mismas medidas de nivel alto de seguridad.
– Una vez finalizada la prestación de servicio se deben devolver los datos e información al responsable del fichero o proceder a su destrucción.
– Si el prestador del servicio no cumple con los requisitos mencionados, será responsable de las infracciones cometidas.
¿Qué puede ocurrir si no firmas el contrato de tratamiento de datos con los prestadores de servicios que tienen acceso a tus datos?
Si el responsable del fichero y los prestadores de servicios no firman un contrato con los requisitos mencionados, se estará incurriendo en una infracción leve recogida en el artículo 44.2 d de la LOPD.
Según el artículo 45.1 de la LOPD, aunque la infracción sea leve, la Agencia Española de Protección de Datos es el órgano competente para sancionar económicamente con entre 900 y 40.000 euros si no se realiza un contrato LOPD.