¿Cómo debe ser un contrato LOPD?

¿Cómo debe ser un contrato LOPD?

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Un contrato LOPD debe excluir la probabilidad de que los datos puedan ser transmitidos por el receptor a entidades no relacionadas por el contrato, a no ser que por imposición del contrato se obligue a esos terceros a respetar todos los fundamentos de protección de datos.

Si una empresa especializada en consultoría de protección de datos, auditorías o un organismo de certificación o normalización se ocupase de la verificación de un modo externo de estos principios de protección de datos, la confianza mejoraría.

En caso de que la persona a la que hacen referencia los datos tenga algún problema como consecuencia de incumplir la protección de datos personales reflejada en las cláusulas LOPD, es complicado cerciorarse de que la queja del interesado es convenientemente investigada. Las personas encargadas de la supervisión en la Unión Europea pueden experimentar inconvenientes prácticos durante las investigaciones.

Proteger estos datos mediante contratos es lo más lógico en redes internacionales, como las reservas de billetes de avión o las tarjetas de crédito, que tienen un gran volumen de transferencias de datos muy repetitivas. Estas empresas son pocas, aunque muy grandes, y trabajan en sectores sujetos a regulación y supervisión públicas.

Otra circunstancia en la que es interesante utilizar contratos es en la transferencia de datos entre entidades o sucursales de un mismo grupo empresarial.

Los países donde las competencias de los poderes públicos para obtener el acceso a la información son mayores de lo estipulado en las normas de protección de derechos humanos, no son un destino seguro para transferencias regidas por cláusulas contractuales.

Te contamos cómo cumple un empresario con la Ley Orgánica de Protección de Datos

Lo primero que debe hacer es implementar una serie de normas de actuación, medidas, cláusulas, formularios y procedimientos que aseguren el cumplimiento con la garantía total de los derechos fundamentales y la intimidad de los ciudadanos.

Las acciones que se pueden emprender son diferentes en cada organización, por lo tanto, el tratamiento de datos personales debe ser diferente y adecuado al tipo y origen de los datos, así como a las características del tratamiento, al soporte y al almacenaje de los datos.

Para que el empresario pueda ajustarse al cumplimiento de la LOPD debe tener en cuenta la comunicación de datos, la inscripción de ficheros, la calidad y seguridad de los datos. Así como el deber de información, los datos protegidos especialmente, el consentimiento de los afectados, el acceso de datos por parte de terceros, la comunicación y la transferencia internacional de datos, el deber de secreto y el ejercicio de los derechos de arco.

Todos los ficheros de una empresa deben estar integrados en el Registro General de Protección de Datos para que sean públicos y sean fácilmente accesibles para realizar consultas por parte de cada uno de los interesados. A tales efectos, los empresarios deben notificar a la Agencia Española de Protección de Datos, mediante un formulario de notificaciones telemáticas a la misma.

Cuando la agencia comprueba que la comunicación cumple con todos y cada uno de los requisitos, aceptará la inscripción en el Registro y otorgará un código de inscripción al empresario.

El artículo 4 de la Ley Orgánica de Protección de Datos obliga al empresario a tratar los datos acorde al cumplimiento de las reglas que te citamos a continuación:

– Se podrán recoger datos con carácter personal que no se obtengan por medios ilícitos o fraudulentos.

– Solamente se recogerán datos adecuados y personales relacionados con la finalidad de su tratamiento.

– Se utilizarán los datos únicamente relacionados con el objetivo que propició su recogida.

– Los datos deberán estar actualizados para que sean realmente exactos y veraces.

– Una vez los datos no sean necesarios para el fin en que fueron recogidos automáticamente, serán cancelados.

– El empresario debe almacenar los datos de forma que el titular de dichos datos pueda ejercer el acceso a los mismos si lo considera oportuno.

Para que se pueda cumplir este fundamento, los empresarios deben diseñar unos procedimientos de recogida, tratamiento y almacenamiento de datos que cumplan las reglas que componen la denominada calidad de los datos.

Conoce los requisitos o cláusulas LOPD

El artículo 12.2 de la LOPD regula las condiciones que se deben reseñar en el contrato de tratamiento de datos. Es conveniente indicar que sería totalmente acertado introducir en el contrato de prestación de servicios que se suscribe entre las partes una cláusula que pueda recoger los requisitos sin que haya que proceder a la firma de un contrato independiente.

El contrato debe estipular las medidas de seguridad que se reflejan en el artículo 9 de la misma Ley y que el responsable del tratamiento de los datos debe implementar.

El artículo 12.3 expone que, una vez finalizada la prestación a la que hace referencia el contrato, los datos personales se deben destruir o ser devueltos al responsable del tratamiento, así como cualquier soporte o documento que contenga algún dato de carácter personal con la finalidad del tratamiento.

Por consiguiente, los requerimientos son los que te contamos:

– El prestador de servicio debe utilizar los datos que le facilita el cliente con el único fin para el que haya sido autorizado como puede ser mantenimiento informático, asesoramiento fiscal, realizar nóminas, etcétera.

– En relación a las medidas de seguridad deben tener el mismo nivel de igualdad por el encargado del tratamiento que el responsable del fichero. Es decir, si el responsable del fichero da un tratamiento de datos de nivel alto el encargado del tratamiento debe establecer esas mismas medidas de nivel alto de seguridad.

– Una vez finalizada la prestación de servicio se deben devolver los datos e información al responsable del fichero o proceder a su destrucción.

– Si el prestador del servicio no cumple con los requisitos mencionados, será responsable de las infracciones cometidas.

¿Qué puede ocurrir si no firmas el contrato de tratamiento de datos con los prestadores de servicios que tienen acceso a tus datos?

Si el responsable del fichero y los prestadores de servicios no firman un contrato con los requisitos mencionados, se estará incurriendo en una infracción leve recogida en el artículo 44.2 d de la LOPD.

Según el artículo 45.1 de la LOPD, aunque la infracción sea leve, la Agencia Española de Protección de Datos es el órgano competente para sancionar económicamente con entre 900 y 40.000 euros si no se realiza un contrato LOPD.

 

Artículos relacionados

RGPD: seguridad desde los inicios El Reglamento de Protección de Datos (RGPD) es la normativa que entró en vigor en 2016 y se va a aplicar a partir de hoy 25 de mayo de 2018 en todos los procesos tecnológicos que impliquen los datos personales y sensibles de cualquier miembro de una ...
Mejoras en los derechos del consumidor con el nuevo RGPD El 25 de mayo de 2016 entró en vigor el nuevo RGPD y la fecha límite para su aplicación por completo acaba el próximo mes de mayo. Por ello, cada vez son más las empresas que se han puesto manos a la obra para instaurar paulatinamente todas las noved...
¿Cuáles son las diferencias entre el RGPD y la LOPD? Tanto el Reglamento General de Protección de Datos europeo como la Ley Orgánica de Protección de Datos española nacieron con el fin de preservar la intimidad de los ciudadanos en el uso que de sus datos hacen las empresas. Y muy especialmente en el á...
¿Cómo se protegen los datos en los medios de comunicación? Saber cómo se protegen datos en los medios de comunicación RGPD es fundamental para evitar problemas y demandas. En realidad, la protección de datos ya se aplica desde hace varias décadas en este ámbito, pero con el advenimiento de nuevas normativas ...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *