miércoles, 26 de mayo de 2010

Acceso a los datos por cuenta de tercero.

Yo me acabo de enterar. Estamos acostumbrados a manejar sólo la legislación de contratos públicos y un día, aparece uno de nuestros contratistas y te dice, que "estamos" (los dos) incumpliendo la Ley de Protección de Datos de Carácter Personal.

Gentilmente nos da un resumen de lo que hacemos mal, de lo que legalmente se debería de hacer y un "modelo" a cumplimentar para arreglarlo todo rápidamente y ahorrarnos el papeleo.

La cuestión es que los poderes adjudicadores cada vez firmamos más y más contratos y muchos de estos contratos (normalmente los servicios y de gestión de servicio público) conllevan la necesidad de que nuestro contratista tenga que acceder, gestionar o tratar ciertos datos o ficheros de naturaleza confidencial.

Ese acceso está regulado por la Ley de Protección de Datos de Carácter Personal y se debería ajustar a lo que expresamente se establezca en un contrato de acceso a los datos por cuenta del poder adjudicador.

1. El acceso a los datos por cuenta de terceros.

Cuando firmamos un contrato para la gestión de ayuda a domicilio o cualquier contrato relativo a servicios de tratamiento de la información, el contratista debe acceder a datos para el cumplimiento de la prestación contratada, datos que en la medida en que contienen cualquier información concerniente a personas físicas identificadas o identificables, son datos de carácter personal.

El contratista tiene que acceder a dichos datos para cumplir el contrato que se le ha adjudicado y para acceder a dichos datos hay que cumplir con los requisitos establecidos en el art.12 de la Ley.

El acceso se diferencia de la cesión de datos en que en este último caso, el tercero cesionario que trata los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del poder adjudicador (que es el responsable del fichero).

2. Partes en el acceso a datos personales.
  • El poder adjudicador es desde el punto de vista de la protección de datos de carácter personal el responsable del fichero o tratamiento y decide sobre la finalidad, contenido y uso del tratamiento.
  • El contratista sería el encargado del tratamiento de datos personales por cuenta del responsable del fichero, tratamiento que incluye: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
3. El contrato de acceso a los datos por cuenta de terceros.

Todas las licitaciones que conlleven un acceso por el contratista a datos personales responsabilidad del poder adjudicador deberían establecer en el pliego de cláusulas administrativas particulares que simultáneamente a la formalización del contrato administrativo se debería formalizar un contrato de acceso a datos de carácter personal, contrato que acredite fehacientemente su celebración y contenido.


El art. 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula el "acceso a los datos por cuenta de terceros" estableciendo que:

"1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente."

4. Y que pasa con la subcontratación. 

Como sabemos la subcontratación es (normalmente) un derecho de nuestro contratista, debiendo extenderse el régimen de protección de los datos personales de nuestro encargado de los datos a los terceros con los que subcontrate prestaciones parciales.

La cuestión es que el derecho a la subcontratación requiere, como regla general, una comunicación previauna autorización previa, en el caso de que se varíe el subcontratista o las partes identificadas en la oferta como objeto de subcontratación. Desde el punto de vista de la legislación de contratos del sector público, no se precisa formalizar un contrato escrito entre el poder adjudicador y los subcontratistas (más sobre la subcontratación aquí). 

No obstante desde el punto de vista de la legislación de protección de datos de carácter personal, parece que sí que se precisaría formalizar un contrato entre el responsable del fichero (el poder adjudicador) y el subcontratista, también encargado, junto al contratista principal, del tratamiento de los datos.

De todos modos, esto de la protección de datos es otro universo del conocimiento jurídico y como todo universo jurídico está plagado de agujeros oscuros que en este caso están iluminados por la Agencia Española de Proctección de Datos.

Si quieres consultar alguno de sus informes jurídicos, pincha aquí.

No hay comentarios: