BAQUIA

Visión práctica: flujo de datos personales entre empresas

Una actividad muy habitual entre las empresas hoy en día consiste en remitir grandes cantidades de información a terceros, ya sea para cumplir con obligaciones legales (remisión de los datos de los empleados al INEM, a la Tesorería General de la Seguridad Social, a la Agencia Tributaria…), para que las filiales reporten su estado a la empresa matriz, o bien para externalizar diferentes servicios (la contabilidad de la empresa, asesoramiento legal, mantenimiento informático, etc.).

Todas estas actividades conllevan una salida de datos fuera de la empresa responsable de los mismos. En el caso de que la información que se remita contenga datos de carácter personal, habrá que atenerse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, más conocida como LOPD, que deroga a la anterior LORTAD.

Dependiendo del flujo de datos personales que la empresa desee llevar a cabo habrá que cumplir con unos u otros requisitos, por lo que a continuación se describirá de la forma más sucinta posible los distintos tipos de flujos de datos que la LOPD contempla, así como los requisitos que sería necesario adoptar en cada caso.

Diferencias

La LOPD regula dos figuras dentro de las cuales se engloba cualquier tipo de flujo de datos, por lo será necesario desgranar la diferencia entre las mismas: acceso a datos por cuenta de terceros y cesión de datos. Para que se comprenda adecuadamente la diferencia entre ambas habrá que comenzar definiendo lo que la LOPD entiende por tratamiento, que define como el conjunto de “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Esto quiere decir que, por ejemplo, si la empresa en cuestión contrata a una gestoría la gestión de nóminas del personal, a una empresa de marketing para efectuar acciones promocionales, o solicitase el alojamiento de su intranet, bases de datos, página web, en los servidores de un tercero, existirá tratamiento, y en consecuencia, será de aplicación la LOPD.

Como denominador común de los servicios que con mayor frecuencia son externalizados se encuentra la necesidad de tratar ficheros de datos de carácter personal e información confidencial titularidad de la empresa que externaliza los servicios. La LOPD establece que en estos supuestos existe un “acceso a datos por cuenta de terceros”, en el que intervienen fundamentalmente dos figuras: el responsable del fichero (empresa que contrata y titular del mismo) y el encargado del tratamiento (empresa contratada). La relación jurídica que se establece entre ambos es normalmente una prestación de servicios, y como tal deberá estar regulada en un contrato, que contenga, además, el contenido del artículo 12 LOPD.

Cesión y tratamiento

La justificación del tratamiento que el tercero hace de los datos viene dada por el hecho de que el acceso a la información de carácter personal es necesario para la prestación de un servicio al responsable. Esta última cuestión es realmente significativa, pues constituye la principal nota diferenciadora entre cesión y tratamiento de datos, dos figuras que habitualmente suelen confundirse, pero con regímenes jurídicos dispares.

En la cesión o comunicación de datos, el tercero cesionario que trata los datos lo hace con una finalidad propia y no para prestar un servicio a favor del responsable del fichero. Esto sucede en los casos de cualquier flujo de datos que se lleve a cabo por imperativo legal, como por ejemplo, la cesión de daos a la Agencia Tributaria, a la Mutualidad que presta el servicio de Prevención de Riegos Laborales, etc. También se incluyen las cesiones de datos que se producen entre empresas de un mismo grupo, los flujos de datos entre filiales y empresa matriz, etc.

En el acceso a datos por cuenta de terceros será necesario que la empresa responsable de los datos lleve a cabo la firma de un contrato o acuerdo donde conste por escrito la siguiente información:

  • El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • El encargado del tratamiento no aplicará o utilizará los datos personales con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
  • Se estipularán las medidas de seguridad a que se refiere el artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos Personales que el encargado del tratamiento está obligado a implementar.
  • Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento.

En el caso de que entre la empresa responsable del fichero y el encargado del tratamiento ya exista un contrato que regule el servicio, será recomendable adjuntar un anexo al mismo que contenga los extremos anteriormente expuestos, en lugar de firmar un nuevo acuerdo que podría resultar más engorroso.
Por el contrario, si la empresa responsable del fichero tiene como objetivo efectuar una cesión de datos, para que ésta fuese lícita la empresa deberá cumplir con los siguientes requisitos:

  • Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • La empresa no estará obligada a recabar el consentimiento en los siguientes casos:
      a) Cuando la cesión está autorizada en una Ley.
      b) Cuando se trate de datos recogidos de fuentes accesibles al público.
      c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
      d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.
      e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
      f) Cuando la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquél a quien se pretenden comunicar.

Dependiendo del caso ante el que la empresa se encuentre, la misma deberá cumplir con unas u otras obligaciones, no resultando sencillo en la mayoría de las ocasiones conceptuar claramente el tipo de flujo de datos ante el que se encuentra.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios