El contrato de tratamiento de datos o cesión de datos a un tercero

16034

¿Quién no tiene hoy en día en su negocio contratados determinados servicios con terceras empresas? La intervención de terceros ajenos a la empresa para realizar un determinado servicio es un caso habitual en el mercado ya que con la externalización de servicios se consigue mayor optimización de gastos directos al subcontratar servicios que no afectan a la actividad principal de la empresa.

¿Se pueden ceder datos a otra empresa?

Es habitual para las empresas trabajar con varios terceros que para prestarles un servicio acceden o pueden tener acceso a datos de su titularidad, como es el caso de la gestoría que elabora las nominas de los empleados, las empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos, empresas de almacenamiento externo y destrucción de documentación, empresas de seguridad y vigilancia, imprentas que etiquetan sobres para mailing, etc…

Cómo puedo ceder datos a un tercero

Como vimos en el artículo dedicado a las personas con responsabilidad en protección de datos, cuando el responsable de un fichero encarga a una tercera persona, denominado encargado del tratamiento, el mantenimiento, gestión o conservación de sus datos, estos servicios deberán estar regulados mediante un contrato por escrito o en alguna forma que permita acreditar su celebración y contenido, especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD).

PRECIO PARA ADAPTAR UNA EMPRESA A LA LEY DE PROTECCION DE DATOS

Artículo 12

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Además el artículo 20 del Reglamento de desarrollo de la LOPD, Relaciones entre el responsable y el encargado del tratamiento, añade una advertencia en su punto 2:

Artículo 20

2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Siempre firmar un contrato por escrito

Por lo tanto en cada relación profesional que suponga acceso a datos personales que la empresa establezca con terceros externos, es muy importante que se asegure que el correspondiente contrato de prestación de servicios refleje todos los condicionantes indicados en el artículo 12 de la LOPD, como mínimo:

  • Tratar los datos conforme a las instrucciones del responsable del tratamiento.
  • No utilizarlos con un fin distinto al estipulado en el referido contrato, ni comunicarlos ni siquiera para su conservación a otras personas.
  • Cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos.
  • No podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo.

SOLICITAR MÁS INFORMACIÓN

¿Quién tiene que firmar ese contrato?

El contrato de tratamiento de datos debe firmarlo cualquier persona que tenga acceso de cualquier forma a datos personales de clientes, empleados, currículums, etc. Los proveedores que no manejan datos pero que acceden a tu empresa, como en el caso del personal de limpieza o vigilancia, deben suscribir otro tipo de contrato.

Tipos de contratos con terceros

La normativa de Protección de Datos establece dos tipos de tratamientos de la información personal por parte de terceros:

  • Comunicación o cesión de datos
  • Acceso a datos por cuenta de terceros

Este tipo de relaciones son diferentes suponen obligaciones distintas para el tercero, que tienen que indicarse necesariamente mediante un contrato o documento escrito que permita demostrar su celebración y contenido.

Mientras que en la comunicación de datos el tercero se le considera como cesionario, en el acceso a datos por cuenta de terceros, al tercero se le denomina encargado del tratamiento.

Estos dos tipos de relaciones tienen características comunes, como por ejemplo  la  necesidad de imponer las medidas de seguridad precisas en el tratamiento de los datos personales, tal como se regula en la normativa de Protección de Datos.

La diferencia principal por la que podemos distinguir un tipo de tercero de otro es el traslado y asunción de responsabilidades. En el caso de comunicación o cesión de datos el responsable del fichero/cedente notifica, previa información y consentimiento del interesado, los datos personales de uno o varios ficheros con el objetivo de que el cesionario los use con una finalidad autónoma, decida sobre el tratamiento de la información y trabaje por su propia cuenta y riesgo. En esta comunicación de datos el cesionario adquirirá la categoría de responsable del fichero y deberá observar todas las obligaciones propias de éste.

Sin embargo, en el acceso a datos por cuenta de terceros, el tercero encargado del tratamiento prestará sus servicios al responsable del fichero y trabajará por cuenta y riesgo de ese responsable, sin que el encargado del tratamiento adquiera la condición de responsable del fichero. Aquí las obligaciones del encargado del tratamiento deberán recogerse claramente por escrito a través de un contrato, ya que el tercero debe entender con precisión las obligaciones a cumplir, sin que pueda disponer a su arbitrio cómo tratar los datos personales.

El contrato de tratamiento de datos o cesión de datos a un tercero
4.45 (89.09%) 11 votos

106 Comentarios

  1. Buenas tardes,
    tengo una duda relativa a la cesión y encargo del tratamiento.
    Por ejemplo, si contratas los srvicios de laboral y fiscal con una asesoría, seria necesario firmar un contrato de encargo del tratamiento, ¿no?. Pero en el caso de tener contratado un servicio de prevención ajeno, ¿tambien se debe firmar un contrato de encargo del tratamiento o por el contrario firmar un contrato de prestacion de un servicio? si en el contrato que ellos mandan ya se trata el tema de la proteccion de datos, se debe firmar igual?
    Y en el caso de ser subcontratado por una empresa del mismo sector, como ocurre en la construcion, y que para la prevencion de riesgo hay que cder los datos, que tipo de contrato se debe firmar?
    un saludo

    • Hola Susana, gracias por visitarnos y comentar.

      Respecto a la primera cuestión, tal y como imaginas, el llamado contrato de tratamiento no tiene porque ser un documento aparte, si se ha hecho así en general es porque se trataba de regular relaciones mercantiles establecidas antes de la aparición de la LOPD, y obviamente los nuevos condicionantes legales tenían que ser reflejados en un documento nuevo.
      Lo lógico es que asesorías, empresas de hosting, de telemarketing, etc… incorporen las cláusulas que exige la ley a su contrato de prestación de servicios, y se firme un sólo documento con clientes nuevos.

      Respecto a la segunda cuestión, al ser mucho más concreta, es más difícil dar una respuesta tajante, pero siempre hay que recordar que no se considera cesión ni se precisa consentimento de los afectados cuando el trasvase de datos está amparado por una ley.

      Sobre subcontratas en construcción puedes obtener más información en este otro artículo: Cesión de los TC2 y nóminas de los trabajadores de las subcontratas

  2. Hola, estoy ayudando a un amigo a ponerse al día con la LOPD y me ha surgido una duda. ¿me podrían ayudar?
    Él es un administrador de fincas y a la hora registrar ficheros de las comunidades y firmar la documentación, el presidente es el que tiene que firmar, ya que actua en representación de la comunidad, ¿verdad? y otra;
    En cuanto tengamos un cambio de presidente, debemos de modificar los contratos de tratamiento de la información?
    Muchas gracias de antemano

  3. Estimado Jesús, ante todo le agradezco su artículo de gran interés y utilidad.
    Mi consulta es la siguiente, es necesario para una asesoría que realiza gestión de nóminas y contabilidad la inscripción de ficheros ante la AEPD? y además, es necesario reflejar esa inscripción en el documento de seguridad de la asesoría?
    Y por último, y en cuanto a los ficheros físicos (carpetas con documentación, cd´s y dvd´s) que contienen datos personales de los clientes de la asesoría y que se guardan en dependencias de la misma, es necesario reflejar su existencia en el documento de seguridad o dar de alta algún tipo de fichero ante la AEPD?

    Desde ya muchisimas gracias por su respuesta.

  4. Hola Daniel, gracias por visitarnos y comentar.
    La asesoría tendrá que inscribir sus propios ficheros (seguro que el de clientes y quizás otros como empleados, si los tuviere) y reflejar esta inscripción en su Documento de Seguridad. En el momento de realizar la inscripción se indicará el o los tipos de soportes en los que se conserva la información.

  5. Hola Jesús, junto con saludarte, espero puedas aclararme lo siguiente:

    Soy encargado de una carpintería, durante unos cuatro años, he recibido los sueldos del personal y pagar según corresponda incluido mi sueldo. Generalmente se me entregaban sobres con distintas cantidades haciendo el entero que yo mismo solicitaba para pagos. Como es lógico de entender, junto con pagar hacía que me firmaran recibos por el dinero entregado, su concepto y sello de la empresa. Desde hace unos dos años, nuestros sueldos se pagan una parte por transferencia bancaria y otra parte por fuera. De la parte por fuera, también hago recibos de pagos, sello de empresa y que me los firmen.

    Siempre los dineros de pagos en efectivo han pasado por mis manos, en ocasiones me han hecho firmar lo que entregaban y la mayoría sólo era darme el dinero para pagos, es decir sin firmar nada. También sólo en ocasiones, me entregaban los recibos de cada uno para que los firmasen y devolviese las copias firmadas a la encargada de estos asuntos. La oficina de la cual dependemos está ubicada en otra dirección distinta a la carpintería, en ésta, recojo los dineros y entrego los recibos firmados.

    En términos legales, es reconocible mi actuar como encargado teniendo que respaldarme de que he pagado los dineros recibidos?
    Si solo he puesto sello de empresa en recibos y nóminas, estos documentos carecen de legalidad por no tener firma?
    Puedo como encargado, además del sello de empresa firmarlos?

    Agradecido de su respuesta,
    Guillermo

  6. Saludos:

    Tengo la siguiente duda. Quiero contratar un Servidor Privado Virtual con un ISP. Dentro de ese servidor virtual voy a montar un CRM con datos de carácter personal de empresas y personas.

    Puesto en contacto con el proveedor, éste me indica que ellos no son para nada responsables del contenido que haya en los ficheros alojados en dicho servidor, ya que se supone que su tarea se limita a montarme el servidor virtual y darme las claves para administrarlo. De hecho, en el contrato que firmaría con el proveedor no se habla para nada de LOPD, en lo que respecta a los contenidos que puedan existir en el servidor.

    Vale. Yo soy el responsable de los ficheros y yo inscribo los ficheros ante la AGPD, pero ¿Y el documento de seguridad? Yo no tengo ni idea de cómo tiene el ISP montada su estructura ¿Me remito ante la AGPD a indicar quién es el ISP y que en su web tiene explicado su manual de seguridad?; y otra cosa ¿Es realmente correcto que el ISP es del todo ajeno a lo que contenga el servidor virtual, o debería firmar algún tipo de contrato con ellos?

    Gracias por adelantado.

    • Hola Adolfo, gracias por tu visita y comentario. El caso que comentas es más frecuente de lo que debería, porque lo cierto es que diga lo que diga el proveedor, resulta ser por su actividad un encargado de tratamiento de manual, con todas las consecuencias citadas en el artículo.
      Hace un tiempo Felix Haro hizo un experimento solicitando información a varias empresas de hosting sobre el tema LOPD, y las respuestas fueron lamentables en general, como se puede ver en:
      The Host (1ª parte)The Host (2ª parte)The Host (final)
      Poco después yo repetí la prueba con empresas que ofrecían servicios incluídos dentro del llamado “Cloud computing”, con resultados similares:
      Tus datos están por las nubes (1ª parte, incluye enlaces al resto de la serie)
      De esta misma serie copio aquí esta conclusión:

      En resumen, que si fuera el caso de que yo como consultor hubiera recibido el encargo de un cliente de comprobar la seguridad legal en sus posibles relaciones comerciales con estas empresas, mi consejo hubiera sido (además de pedir alguna ampliación de información en los casos dudosos) que confiara sólo en el último de los citados, y que desde luego evitara en cualquier caso la relación con aquellos que niegan su responsabilidad en el asunto.

  7. Hola tengo instalados unos tpvs en mi negocio y estos envian la información a un servidor externo de un tercero donde archivan el historico de movimientos. Les he solicitado que me faciliten el acceso a los mismos y se niegan a hacerlo. Mi pregunta es si están actuando de forma correcta o por el contrario existe la obligación por parte de ellos de facilitarme dicho acceso y en caso de ser así en que falta estaría incurriendo. Gracias.

    • Elena: gracias por visitarnos y comentar. Tu pregunta resulta difícil de responder sin más información. Sería necesario conocer bien el procedimiento técnico de los tpv instalados y en especial el contrato que supongo dispondrás de relación con la entidad que te da el servicio financiero. Por otro lado también habría que saber qué tipo de “acceso” has solicitado.
      En cualquier caso, para que pudieras acceder sin cortapisas a tal información, deberías ser lo que en LOPD se conoce como “responsable del fichero”, posición que te aseguro no te conviene en absoluto.
      De todas formas hay que aclarar que todo el posible conflicto está en función exclusivamente de una posible consideración de los datos como de carácter personal, pero si solicitas exclusivamente posiciones financieras (digamos un listado con fecha y cifra de cada pago, sin ningún otro dato añadido), entonces entiendo que no puede haber ninguna razón para negar esa información.

  8. buenas tardes: tengo una duda sobre una comunidad de propietarios: los socios de una comunidad tienen derecho a saber lo que se les paga a los que trabajan dentro: jardineros, porteros etc..? o aqui se aplica la ley de proteccion de datos.
    en otras palabras: en una reunion de propietarios, si yo soy presidenta y he decidido el sueldo de estas personas, si me preguntan los socios, debo decirles lo que cobran o puedo callarme bajo esa ley?
    muy agradecida.

    • Hola Araceli, gracias por visitarnos y preguntar.
      Como copropietarios que son, los socios de una comunidad tienen perfecto derecho a conocer cualquier tipo de gasto que les afecte, incluido los salarios de los empleados. El límite que pondría la LOPD está en no proporcionar datos que vayan más allá de este derecho específico y puedan lesionar otros derechos a la intimidad. Por ejemplo partes de baja o cualquier otro dato de salud, etc.

  9. si se trata de una comunidad de propietarios,entiendo que el responsable es la comunidad. El encargado de tratamiento de los datos el administrador bien se trata de un colegiado administrador de fincas o un propietario. Entonces cada vez que cambies de administrador debes notificarlo a la agencia

    • Javi: lo que debes asegurarte es de tener firmado con ese encargado el contrato de tratamiento, donde se especificará el nivel de protección exigido por el responsable al encargado. Por tu propia cuenta puedes ver en la web de la AEPD si tiene los ficheros dados de alta, pero para ir más allá (comprobar su documento de seguridad, las medidas de seguridad instaladas en sus equipos, etc) necesitaras su necesaria cooperación (en función, lo más probable, del peso que tengas como cliente en su cuenta de resultados).

  10. Ya me han contestado el encargado de tratamiento de datos cada vez que cambie se debe comunicar como modificacion en el documento de inscripcion de ficheros de la Agencia.

    Pero una pregunta, en el documento de seguridad de una comunidad de propietarios deben los propietarios dar su autorizacion para la utilizacion de los datos personales, entiendo que al ser utilizados para la propia gestion no seria necesario, salvo que fuera para otro tema no inlcuido dentro los afectos a la propia administracion (circulares, convocatorias, actas…)

  11. y otra pregunta, si la comunidad solo dispone de datos de los propietarios y tiene una persona contratada, y hay morosos. Deberia considerarse nivel basico o medio. En caso de considerarse nivel medio , deberia realizarse auditorias cada dos años , supongo que bastaria internas realizando un control de las medidas de seguridad y adecuando el documento de seguridad o cual seria la forma correcta

    Gracias por su respuesta

  12. Gracias por la respuesta me ha sido muy util, pero sigo teniendo una duda si la comunidad si la persona que lleva la administracion tambien se encarga de realizar la nominas y demas documentos relacionados deberia dar de alta este fichero o ya se consideraria incluida en la gestion de lo datos de comunidad de acuerdo con el fichero tipo

    Gracias de antemano

  13. Buenas a todos.

    En la empresa donde llevo 2 años, necesitan nombrar un responsable de Protección de Datos y necesitaria saber la responsabilidad legal que conlleva este puesto, ya sea ante una denuncia de terceros o con un problema en la gestion de los datos. Gracias

    • Pedro: por paradójico que parezca (mala elección de la denominación) el Responsable de Seguridad no tiene ninguna responsabilidad ante la Agencia de Protección de Datos. Ante la AEPD el único responsable es lo que en la LOPD se denomina “entidad”, es decir la empresa, asociación, colegio profesional u organismo público responsable del fichero con datos personales.

  14. Gracias Jesus, la verdad es que tenia algo de reparo, porque el que me nombraran responsable fue bajo mi NO consentimiento, pero ahora mismo es imposible negarse a casi nada y mi preocupacion era hasta que punto me podia implicar en un caso de denuncia o irregularidad y mas aun sin tener un seguro de responsabilidad civil (yo persona física).

  15. Gracias Jesus. Me has sido de gran ayuda y por lo menos estoy algo mas tranquilo, ahora, lo que tu me dices, aprovechar y aprender algo nuevo, que nunca viene mal.

    Gracias de nuevo!

  16. Hola, quisiera, por favor, que me resolvierais una duda. Como asesoría, quiero firmar un convenio de colaboración con una empresa que se dedica a impartir cursos de formación, porque me gustaría ofrecer este nuevo servicio a mis clientes.¿Podría acceder esta empresa a mi base de datos de clientes para ofertarles los cursos en nombre de la asesoría? ¿Se infringiría la ley de protección de datos?

    • Hola Jesús: bienvenido y gracias por comentar.
      Aunque podría haber algunos matices, la respuesta genérica es NO. Puesto que se trata de empresas con las que mantienes una relación comercial, tu asesoría sí está autorizada a enviar comunicaciones comerciales relacionadas con su actividad, pero no para ceder esos datos a un tercero.

      Los matices son: los datos puramente empresariales no están afectados por la LOPD, aunque en el caso de los autónomos (que seguro tendrás algún cliente de este tipo) sí pueden caer bajo su ámbito. Por otro lado la LSSI no distingue entre datos de personas físicas o jurídicas, por lo que si la comunicación es de tipo electrónico (y el email es la herramienta más utilizada en estos casos) se necesitaría siempre consentimiento expreso para ceder el dato a un tercero. En resumen: la única opción segura y legal de cesión sería para un envío postal físico o una acción de telemarketing exclusivamente sobre personas jurídicas. Vaya, un lío, así que mejor olvidar esto, no arriesgarse y volver a la respuesta inicial: NO.

      De todas formas, al margen de las cuestiones legales, tu mismo indicas “me gustaría ofrecer este nuevo servicio a mis clientes”, con lo que desde el punto de vista del marketing, si has verificado que se trata de una empresa seria que ofrece realmente un valor interesante en formación, deberías ser tú mismo quien comunicara ese acuerdo y sus ventajas a tus clientes y “apuntarte la medalla”.

      Personalmente cuando firmo acuerdos de este tipo con asesores lo que hago es sentarme con ellos y ayudarles a redactar la comunicación correspondiente, de forma que estemos dentro de la LOPD, el asesor quede bien con sus clientes y yo me asegure que el mensaje tiene los suficientes impulsos comerciales como para tener un retorno. Win win se llama 😉

  17. Gracias por vuestra respuesta, pero estoy bastante interesado en esta idea. ¿Habría alguna formula para que la empresa dedicada a la formación accediera a los datos? Los cursos realizados no conllevan coste para mis clientes, ya que se descuentan de los seguros sociales, ademas les pueden ofrecer asesoramiento en microinformatica. ¿Se podría firmar un contrato de prestación de servicios? o ¿Un contrato que refleje una asociación entre ambos? En definitiva que aparezca la empresa como contratada nuestra. Gracias.

    • Jesús, habría dos formas:

      1.- ceder datos exclusivamente de personas jurídicas, excepto el email, fax y cualquier otro medio electrónico
      2.- obtener el consentimiento de los afectados

      El hecho de que los cursos puedan ser bonificables no tiene ninguna relevancia en este asunto. Y evidentemente habría que firmar siempre el contrato en los términos que se describen en el artículo.

  18. Buenos días.
    Tengo una duda con respecto a esta ley. En una de las comunidades de propietarios a las que pertenezco el administrador nos pasa un recibo semestral de 60€ en concepto de aplicación de la LOPD, en las otras comunidades no nos lo cobran. ¿Corresponde a la comunidad de propietarios pagar estos gastos o debe correr por cuenta del administrador ya que tienen la obligación de cumplir con esta ley?
    Muchas gracias y un saludo.

  19. Buenos días.
    este año nos toca de presidentes de la comunidad de vecinos y al poder ver las cuentas nos hemos enterado de que el administrador nos pasa recibos de 360€ mensuales en concepto de “protección de datos”. es normal que nos cobre tanto? se puede hacer?
    cuando empezamos con él, nos dijo que sus honorarios serían de unos 150€ mensuales y ahora nos damos cuenta de este gasto (encima pasa los recibos bajo otro nombre, pero la dirección de la empresa es la misma que la suya).
    tampoco empezaron a cobrarse estas facturas desde el inicio de su contrato, sino unos 6 meses después de empezar el mismo.
    qué podemos hacer? además la comunidad muchas veces es´ta sin fondos y con pagos pendientes, mientras él cobra estas cantidades mensuales…
    alguna solución??
    se le puede ecigir que nos enseñe una copia del contrato que tiene con nuestra comunidad?
    muchas gracias por su ayuda.

  20. buenas tardes. tengo varias dudas sobre la normativa a cumplir de LOPD con mi empresa: recibimos llamadas de ciudadanos para informar de un servicio, estamos interesados en grabar las llamadas SOLO a efectos de controlar la calidad del servicio prestado.
    ¿deberiamos registrarnos en la AEPD?¿deberiamos informar que la llamada va a ser grabada?
    gracias

    • Hola Marcos: respuesta breve: sí y sí.

      En protección de datos la voz se considera un dato de carácter personal y por tanto su tratamiento configura un fichero (junto con el resto de datos que se asocien al cliente o contacto) que habrá de dar de alta en el registro General de Protección de Datos. Tenemos una serie sobre el procedimiento a seguir: http://www.ayudaleyprotecciondatos.es/tag/nota/

      Por otro lado la consideración de dato personal obliga a cumplir las exigencias de la LOPD en recogidas de datos y habrán de informar a los llamantes de que la conversación va a ser grabada.

  21. muchas gracias por tu respuesta Jesus. tenia mas o menos claro que era asi, pero hay ciertos detalles en los que tenemos muchas dudas y hemos pedido una aclaración directamente a la AEPD.
    gracias de nuevo

  22. Buenos días:

    Tengo una duda. Soy Voluntaria de una Fundación. Me han nombrado encargada de tratamiento de un fichero y me han dado un docuemtno que he firmado para proteger los datos.

    Me han dicho que no hace falta que me quede con copia. Tengo derechoa pedirla ya que lo he firmado? Que articulo de la ley me ampara para reclamar este derecho a tener copia del docuemtno que he firmado?

    Gracias
    un saludo

    • Hola Sylvia: ¿estás segura de que el concepto es “encargada del tratamiento”? Esa figura se refiere a cuando se tratan los datos por encargo del Responsable del Fichero, como por ejemplo la asesoría que hace las nóminas de una empresa o la agencia de marketing que prepara un mailing personalizado con los datos de los clientes.
      Por otro lado por supuesto que tienes derecho a tener una copia de algo que has firmado, pero no porque lo diga la LOPD, es un criterio básico del derecho.

  23. Hola, mi hermandad ha decidido ceder los datos de todos los hermanos sin la autorizacion de estos a una empresa para cobrar a domicilio las cuotas de la misma.
    En ese listado hay menores de edad, esos ficheros contienen ideologia ya que de por si el ente que ha encargado el servicio es religioso.
    ¿Es legal ceder todos estos datos sin consentimiento?¿en caso de ser asi como podemos denunciar este hecho?¿a quien se deberia denunciar a la junta rectora de la hermandad o a la propia hermandad<'

    • Hola Abel: para poder responder con propiedad debería leer la cláusula de consentimiento en la que se haya informado a cada hermano en el momento de la toma de datos.
      En principio hay que tener en cuenta que la LOPD autoriza en la figura del Encargado del Tratamiento este tipo de entrega de datos cuando son necesarios para externalizar trabajos profesionales por cuenta del Responsable del Fichero. El ejemplo más clásico es el de la empresa que entrega los datos de sus empleados a la gestoría o asesoría que le prepara las nóminas.
      Eso sí, para que todo esté dentro del marco de la ley resulta imprescindible la existencia y cumplimiento del preceptivo contrato de tratamiento de datos que se expone en este artículo.

  24. Hola buenos días:

    Tengo una duda: Si una gestoría administrativa realiza la gestión de las notas simples a un banco, debería firmar el contrato de acceso a datos con el mismo, pero el detalle es que la gestoría factura a nombre del cliente del banco, por lo que ¿debería informar de algun modo al cliente de ese tratamiento? y ¿ quien de los dos?Es el banco el que le solicita los datos al cliente así que entiendo que sería él el que debería informarle pero ¿la gestoría debería hacer algo más? Muchas gracias

    • Carolina: si la gestoría factura al cliente, entonces es responsable del fichero (si facturara al banco sería encargada del tratamiento) y por tanto deberá obtener el consentimiento del cliente e informarle de todos los extremos señalados por la LOPD.
      Respecto al procedimiento a emplear, excede las posibilidades de un comentario, habría que estudiar cómo se produce el proceso de toma de datos, qué documentación entrega el banco a la persona, etc…

  25. Muchas gracias Jesús.
    La gestoría está intentando facturar al banco en lugar de al cliente. De momento en sus facturas advierte al cliente de los extremos de la LOPD, pero no puede informarle de otro modo porque no tiene relación con él. ¿ Sería suficiente con el aviso de las facturas? y otra duda, si es cosiderada como responsable,¿ no tiene que firmar el contrato de cesion con el banco?

    • Carolina: desde luego el contrato de tratamiento de datos entre las partes debe existir en una situación como la que describes. Luego habría que actuar en función de las instrucciones que se indiquen en tal documento.
      Así por ejemplo podría existir un documento de recogida de datos que identificara a ambos responsables del fichero, o el banco podría entregar dos documentos al cliente, etc…

  26. Buenas, gracias por tu respuesta, te comento que en la inscripción de mi hijo que se realizo hace 2 años, no hay clausula alguna referente a cesión de datos y en la mia que se hizo hace más de 30 tampoco.
    ¿Sería lega lentonces?

    • Abel: como te decía, la entrega de los datos dentro de un marco estrictamente profesional (como es realizar una gestión de cobro) no necesitaría un consentimiento expreso, lo que sí es imprescindible es la realización del contrato de tratamiento entre las partes. Ahí es donde el asunto se complica debido al carácter especialmente protegido de los datos relacionados con la religión. Por ejemplo la empresa que recibe los datos para su gestión está obligada a protegerlos con el mismo nivel de seguridad exigido, en este caso alto. Este hecho debe exigirse en el contrato y luego cumplirse de verdad.
      Este y algunos otros aspectos son los que deberían revisarse para comprobar la legalidad de lo que expones, y no tanto la cláusula firmada en la recogida de datos.

  27. ¿Que nivel de seguridad se exige en este caso (religión)? ¿Las personas encargadas de la gestion del cobro podrían ser personas físicas sin ser autónomos?¿Que medidas de seguridad deben tener?

  28. Una cosa más, he leido el enlace que me has enviado ,muchas gracias por él.
    Más concretamente el caso que tratamos, la hermandad ha dado unas cartulinas, con el nombre de la hermandad, los datos de domicilio, el numero de hermano y no recuerdo si algun otro dato. En ningún caso está cifrado ni codificada esa información, se lee claramente, es más si pagas la cuota anual entera te entregan la cartulina con todos esos datos. Pudiendo pagarlo yo o cualquier persona que este en mi domicilio en el momento en el que se presenten a cobrar, ya que lo hacen sin previo aviso.
    En este caso y atendiendo a las medidas de seguridad ¿entiendo que se infringel a normativa al respecto no? o ese soporte es correcto.?

  29. Entiendo por lo que me dices y para oconcretar e informar a la hermandad, que la forma en que han cedido los datos de los hermanos de la hermandad, para que se gestione el cobro, al no cumplir las medidas de seguridad necesaria para ceder este tipo de ficheros por tocar temas como la religion, esta hacienodse de forma ilegal.
    ¿Si alguien denuncia tal hecho y denuncia a la hermandad, podrían multarnos a la hermandad?

  30. Hola buenas tardes:
    Estoy un poco confusa con la figura de encargado de tratamiento, en la que tendremos que regular el mismo a través del contrato del que hablas en el articulo y cesión de datos. Todo esto despues de haber estado leyendo algunos informes y resoluciones de la AEPD en su página web. En algunos casos las empresas de prevención de Riesgos laborales pueden convertirse en Responsables del fichero y en el caso de los corredores de seguros ocurre lo mismo. ¿ Me podrías aclarar esto?
    Gracias

  31. Búenos días Jesús:
    Parece que ultimamente solo me ocurren temas relacionados con la LOPD. Será que cuanto más la conoces más dudas surgen? En fin a la empresa de mi marido le han mandado una solicitud de documentación por parte de la Inspección provincial de trabajo y seguridad social. En el mismo le solicitan datos de sus clientes. Nombre o razón social ,domidilio, etc El problema es que muchos de esos clientes son particulares y no sabemos hasta que punto debe o no darlos, aunque en el mismo escrito exponen que en el caso de la no presentación de esa documentación sería un acto de obstruccion, de acuerdo con el art 50 del texto refundido de la Ley sobre infracciones y sanciones del Orden Social y además nos sancionaríam. ¿ Debemos entonces darles estos datos? Gracias

    • Carolina: esta es una de esas preguntas demasiado concretas como para poder responderlas con un mínimo de rigor sin ver toda la documentación. Habría que estudiar la motivación de la solicitud y ver en qué se basa. En principio se podría pensar que al venir pedido por una autoridad será todo legal, pero ya hace un tiempo la Generalitat de Cataluña pidió una serie de datos excesivos a varios hospitales, y los multados por la AEPD fueron estos últimos (aunque la sanción se atenúo). Sería poco riguroso por mi parte dar una respuesta sin más.

  32. Buenos días,
    A mi me surge la duda sobre como tratar este tema de encargados de tratamiento cuando la transmisión de datos se hace entre empresas del mismo grupo (mismo dueño), si por ejemplo la funcion de RRHH, Contabilidad, etc. esta centralizada en una de las empresas y presta servicio a todas las demas… como se debería tratar esto? hacer un contrato de tratamiento de datos en los que el firmante sea el mismo para el responsable del fichero y el encargado de tratamiento?? gracias.

  33. Hola, antes que nada, agradecer el trabajo que realizáis, pero tengo una duda aun sin resolver. Bueno por motivos estoy incluido en el ASNEF, quisiera saber si puedo acogerme a LOPD para solicitar la anulación de mis datos en dicha lista. Muchas gracias de antemano y un saludo. ^^

  34. Hola, lo primero de todo es daros la enhorabuena y agradeceros todo este esfuerzo que dedicáis a la resolución de dudas. Yo tengo una relacionada con una empresa de servicios. Esta empresa se encarga del diseño y de hosting de páginas web para mi empresa, los dominios son marcas nuestras registradas. Tan sólo les ofrecemos nuestra información, y ellos la publican en el sitio web diseñado por ellos. En estas páginas los usuarios pueden dar su nombre y dirección de correo al registrarse. ¿Quién debe realizar la inscripción del fichero, nosotros o esta empresa que nos ofrece el servicio? ¿Debemos ser nosotros los responsables del fichero, y especificar en nuestro contrato que ellos serán los encargados del tratamiento? ¿O son ellos quienes se deben encargar de esto, pues son los que recogen los datos y los tratan? Mil gracias. Un saludo cordial.

    • Gracias Ángel.

      Respecto a la cuestión, y en función de la información aportada, la clave está cuando señalas que ellos sólo publican lo que vosotros les decís. Por tanto está claro que los ficheros resultantes son de vuestra propiedad y responsabilidad, siendo la empresa de servicios encargada del tratamiento como bien indicas, y con ella deberá haber un contrato que incluya las exigencias LOPD.

  35. Buenas tardes,

    Tengo una empresa de nueva creación, de asesoramiento fiscal y laboral. No tengo muy claro lo de la protección de datos.

    Y te agradecería si me pudieras contestar a algunas dudas. ¿Qué ficheros tengo que inscribir yo, como empresa? Clientes y proveedores y recursos humanos? ¿Que nivel de seguridad pueden exigir estos datos?

    En relación con los datos facilitados por mis clientes, debo formalizar el contrato de tratamiento de datos, ¿y con eso estaría cubierta? No tendría que inscribir ningún otro fichero, ni nada por el estilo?

    Si los clientes, no hacen protección de datos, ¿qué tengo que hacer?

    Muchas gracias.

    • Hola Sara: los ficheros a inscribir dependen de la actividad de cada empresa. Los que citas serían los mínimos de cualquier actividad comercial desarrollada con empleados, y serían de nivel bajo, pero podría haber otros con otros niveles de exigencia.

      Efectivamente debes formalizar el contrato de tratamiento y además aplicar las medidas de seguridad correspondientes, tanto respecto a la custodia como a la transmisión o transporte de dichos datos (según sea el caso de que tus clientes te entreguen datos informatizados o en papel). Esos datos de terceros no implican por tu parte la inscripción de ningún fichero adicional, es el responsable del ficheros quien debe hacer tal proceso.

      Si tu cliente no cumple la ley se sobreentiende que tu como asesora debes explicarle el asunto y advertirle de las posibles consecuencias del incumplimiento, pero en ningún caso es responsabilidad tuya, repito que el cumplimiento es cosa del responsable del fichero, mientras tu tengas el contrato de tratamiento correctamente redactado y firmado, estás cubierta por ese lado.

      Este post analiza el nivel de seguridad en asesorías: http://www.ayudaleyprotecciondatos.es/2010/04/12/nivel-de-seguridad-en-asesorias-fiscales-y-laborales/

  36. Buenas tardes Jesús:

    Quería plantearte una duda acerca de la LOPD referida a la prestación de servicios de una asesoría.

    La cuestión es si los empleados de la asesoría y profesionales colaboradores también tienen que firmar cada uno un contrato para el acceso y protección de datos con los clientes (terceros) o, si esto no fuese necesario, en que forma puedo hacer constar en el contrato que firma el responsable de la asesoría y el cliente que los empleados y profesionales colaboradores también quedan obligados por el contrato.

  37. Pablo: los empleados estarán sujetos al Documento de Seguridad de la asesoría, mientras que con los colaboradores externos se deberá firmar un contrato de tratamiento de datos, pero no con los clientes, sino con la propia asesoría.
    Estas figuras son las que específicamente se indican en le primer párrafo del artículo 12: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.”

  38. Buenos días:
    Tengo una duda sobre la LOPD. Soy propietario de una franquicia con un local arrendado a unos señores particulares.
    La central de la franquicia a la que pertenezco me pide el contrato de alquiler que tengo firmado con los propietarios del local.¿Puedo hacerlo? ¿no incumplo la ley de protección si les mando el contrato firmado con ellos con todos sus datos?
    Gracias

  39. Buenas tardes, antes de nada enhorabuena por este espacio. mi duda es la siguiente. Dos gestorías, una de ellas ( gestoria A) le cede datos de sus clientes a la otra (gestoria B) para la gestión del servicio contable fiscal. Que deben firmar el contrato que regule esa cesión entre ellas lo tengo claro, pero ¿la gestoría A,debe informar a sus clientes que para la prestación del servicio cede los datos a la gestoría B? La gestoría B factura por ello a la Gestoría A que luego factura a sus clientes.
    No sé si me he explicado, gracias,

    • Carla: en el caso que se indica estaríamos ante una subcontratación y por tanto será de aplicación lo previsto en el artículo 21 del Reglamento,
      respecto a la posibilidad de subcontratar los servicios. Dispone dicho artículo lo siguiente
      “1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable
      del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento.
      2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan
      los siguientes requisitos:
      a. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se
      vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
      b. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
      c. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento.
      3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior”

  40. Muchas gracias Jesús, entonces la Gestoría A debe obtener el consentimiento de sus clientes para ceder sus datos a la Gestoría B, no?
    Es que lo de los supuestos lo veo complicado, es más en que no me queda muy claro ni el supuesto b) ni el c), en el caso del b) el responsable del fichero sería conocedor de la existencioa del contratista, pues es como obtener el consentimiento,no? y el supuesto c) dejaría fuera el conocimiento del responsable del fichero en casi todos los casos, se firma el contrato entre las dos gestorías y a volar.¿no?
    Lo que pretendo expresar es que para la gestoría A, entiendo que es tediosos, comunicar la cesión a sus clientes, aunque si es obligatorio huelga decir nada más, pero si con la firma entre las dos se lo evita… pues no se!

    • Carla: opino que si en el contrato de servicios con sus clientes la asesoría ya ha comunicado que podría proceder a subcontratar, no necesita luego un consentimiento expreso para hacerlo. pero claro, habría que ir caso por caso viendo los contratos y estudiando también qué tipo de datos se van a ceder, etc…
      Por eso te ponía el artículo en cuestión. Ir más allá sin conocer las circunstancias sería muy osado por mi parte.

  41. Gracias Jesús por lo claro y conciso que dejas las cosas, pues la ley es difícil de interpretar.
    Quisiera preguntarte dos cosas:
    – Como oficina de ingeniería donde tengo los datos de los clientes y proovedores en multitud de archivos de Word, excell, PDF, etc, pero no en una base de datos como tal; se puede dar de alta un sólo archivo que comprende todo el maremagnun que hay en el ordenador?
    – Como estoy sólo en la oficina y sólo le paso las facturas a la asesoría para los impuestos; debería tener un contrato con ellos como responsables del tratamiento?

    Gracias.

    • Francisco: la ley define fichero como conjunto homogéneo de datos, es decir, que no importa en cuántas aplicaciones estén gestionados, sino cuántos tipos de datos distintos mantenemos. Así por ejemplo, si sólo tengo datos de clientes, aunque estén en 10 aplicaciones distintas, tengo un fichero. Sin embargo, si tengo datos de clientes y de empleados, aunque las gestione desde un solo programa, tengo dos ficheros.
      Respecto a la segunda pregunta, sí, debe tener ese contrato.

  42. Buenas tardes mi duda sería la siguiente. Estoy creando una pagina web con venta online. Los pagos de mis clientes se realizarán mediante tarjeta de crédito pero a través de Paypal, y en las ventas telefónicas, el pago se hará mediante transferencia bancaria. Los únicos datos que yo manejo de mis clientes serían su nombre, dirección y teléfono de contacto. También tengo un servicio de suscripción para los clientes que quieran obtener actualizaciones. Mi pregunta es, debo de indicar en mi página una clausula para informar sobre la protección de datos?? que debo de hacer y establecer en mi página para que esté todo correcto?

    Muchisimas gracias por la información

    • Verónica: claro que debe añadirlo, así como condiciones de compra y otros requisitos legales, no sólo de la LOPD sino también de la LSSI, incluyendo el tema cookies. La segunda parte de la pregunta es imposible de responder con un comentario, ese tipo de cláusulas e informaciones deben estar personalizadas en función del negocio.

  43. Buenas tardes Jesús.
    Como empresa de servicios, trabajamos accediendo a ficheros de un cliente persona jurídica.
    El acceso y el tratamiento de los datos es exclusivamente online (no hay descargas ni almacenamiento de datos en nuestro servidor).
    Entiendo que estamos obligados como “encargado de tratamiento”, pero la cuestión es si nos corresponde elaborar un Documento de Seguridad.
    Por otra parte, el art. 9 nos dice que tenemos que estipular las medidas de seguridad que vamos a implementar. En este caso, ¿sólo serían medidas de control de acceso?
    Gracias tu inestimable ayuda!

    • Francisco: el documento de seguridad debéis tenerlo, independientemente de que trabajéis para un tercero, referente a los datos personales que recopiléis como empresa. Aparte, como encargados de tratamiento debéis tener el oportuno contrato con el cliente, en el que se especificará la política de gestión y seguridad en el tratamiento de esos datos.

  44. Hola, mi duda es la siguiente:

    Supongamos que tenemos una empresa 1 y otra empresa 2 que utiliza las instalaciones, equipos, etc. de la 1.
    Además, se ceden los datos de la una a la otra.
    Según la LOPD:
    1) La entidad 1 sería encargada del tratamiento de los datos de la entidad 2, por lo que se debería firmar el correspondiente contrato.
    2) En la cesión de datos, basta con informar a los clientes de que van a ser cedidos sus datos a otra entidad, y “guardar” el consentimiento para su posible requerimiento, etc. Por lo tanto no habría que formalizar contratos entre entidades en este respecto.

    Conclusión:
    Mi duda concreta radica en la posible contradicción en la relación laboral entre las dos entidades, puesto que por un lado estoy cediendo datos (cosa que puedo hacer) y por otro he firmado un contrato de encargo de tratamiento que contiene unas clausulas obligadas por la LOPD, entre las que figuran:

    “El encargado del tratamiento …, únicamente tratará los datos conforme a las instrucciones del responsable del fichero …, y no los aplicará o utilizará con fin distinto al que figure en este contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”

    o

    “Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos / devueltos al responsable del fichero al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.”

    o

    “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”

    Por tanto, desde la perspectiva de la entidad 2, por un lado, puedo tratar los datos “a mi manera” puesto que los datos me los han cedido, y por otro, no puedo tratar los datos “a mi manera”, puesto que el contrato me obliga a tratarlos como me dice el responsable.
    Muchas gracias!

  45. Hola

    Buenos días

    Hace tiempo trabaje para una empresa que se dedica a la Recolección de R.P.B.I en el área de ventas, por no cumplir lo que se acordó en un principio decidí salirme y comenzar por mi propia cuenta a ofrecer este servicio trabajando en conjunto con otra empresa que solo le diera la disposición final a los residuos, pero trabajando como externa yo tengo que entregar un contrato a los clientes para que se amparen del servicio, tengo que decir que tome algunas clausulas del contrato donde anteriormente estaba trabajando para estructurar mi contrato -.¿puedo tener problemas por hacer esto? ¿legalmente estoy violando alguna ley?
    Las clausulas que tome (ejemplos)
    vigencia del contrato
    condiciones para el transporte de residuos
    horarios estipulados
    personalizaciones por incumplir el contrato
    Muchisimas gracias! espero pueda ayudarme
    buen día!

  46. Hola buenas al blog Jesús:

    Verás te comento tengo un hermano que le acaban de declarar judicialmente incapacitado parcial, no tenemos la sentencia, el se encuentra trabajando; pero la agencia de tutela nos puede amenazar con llamar a la empresa para que la tutora modifique los datos bancarios? Puedo teniendo una sentencia judicial sin que mi hermano no sepa donde esta su patrimonio y que vayan por detrás de el, que le cedan los datos bancarios?
    Muchas gracias. Reciba un cordial saludo.

  47. Hola Jesús,

    Lo simplifico.
    Hay tres empresas que trabajan en una misma ubicación (Instalaciones, Pc´s, etc. todo propiedad de una de ellas). Y ofrecen servicios conjuntamente. Por ejemplo, una empresa que presta servicios relacionados con viajes, una de ellas seria para servicios en una zona, otra en otra zona con distintas caracteristicas, y una tercera se encargaria de otro servicio relacionado, por ejemplo, del traslado de la gente.

    En este caso hay cesión, hay tratamiento, etc.

    En mi opinión hay cesión, por que se intercambian los datos de los clientes para prestarles los servicios conjuntamente. Y hay una encargada de tratamiento principal, por que se usarían aplicaciones, servidores, etc. de ésta, que aloja los datos de todas. Y en realidad, además, todas serían encargadas de tratamiento de las demás ya que el mero hecho de tener acceso a los datos de las otras les haría serlo.

    Seguro que entiendes la situación que planteo.

    El problema, como digo en el otro comentario, viene a la hora de plantear los contratos de tratamiento.
    Cuando ponemos en dicho contrato.

    “El encargado del tratamiento …, únicamente tratará los datos conforme a las instrucciones del responsable del fichero …, y no los aplicará o utilizará con fin distinto al que figure en este contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”

    Se contradice con el hecho de la cesión.

    No se si sabes por donde voy…

    (Gracias! por contestar)

  48. Hola Jesús,

    Antes que nada darte la enhorabuena por este Blog que para muchos resulta de gran interés.

    Mi consulta es la siguiente:

    Soy informático autónomo y realizo trabajos como tal en varias Empresas. Con algunas tengo firmado un Contrato de Mantenimiento y con otras no tengo firmado ninguno, solo me llaman para realizarles trabajos esporádicos y ocasionales. A las Empresas que no me vincula ningún Contrato no voy a sus oficinas mas que una o dos veces al año. Una de estas Empresas de las que les hago trabajos muy de vez en cuando me ha pedido que redacte un Contrato basado en la LOPD porque según su Administrador sus auditores se lo exigen. Tengo claro que con quien tengo firmado un Contrato de Mantenimiento si es preciso tener este Contrato para el tratamiento de datos personales a tercero, pero para el resto de Empresas con las que no me vincula ningún tipo Contrato de Mantenimiento Informático también es obligatorio que se lo redacte y lo firmemos ambos? Tengo que ser yo el que redacte dicho Contrato de Protección de Datos o es el que lo tendría que redactar y firmarlo ambos?

    Muchas gracias y recibe un cordial saludo.

    • Javier: siempre que exista la posibilidad de un acceso a datos personales hay que disponer de un documento que fije las reglas del juego y las responsabilidades de las partes, el que se haga ocasional o habitualmente no cambia la situación.
      Respecto a quién ha de redactarlo, es obvio que la ley no dice nada de eso, pero lo lógico sería que la propuesta llegara desde tu cliente, que es quien tiene el deber máximo de salvaguardar la información.

  49. Buenos días Jesús.
    Una cuestión que parece sencilla…
    ¿Se aplica de la misma forma estas normas cuando las empresas forman parte de un mismo grupo empresarial?
    ¿Puedes darme alguna pista cuando existe en este mismo grupo una empresa A que trata datos de una empresa B, cuyos datos están alojados en servidores de una empresa C? ¿Es necesario que cada empresa tenga su Documento de Seguridad, su responsable, etc?
    Muchas gracias por tu ayuda.

  50. Hola Jesús,
    Mi duda se plantea respecto a la figura de encargado del tratamiento. Si nosotros (responsables) tenemos firmado un contrato de encargado del tratamiento con una empresa que nos presta determinados servicios, y dichos servicios se traspasan por parte de esta empresa a otra. Sería necesario obtener algun tipo de consentimiento por parte de los titulares de los datos personales que se traspasarán a esta nueva empresa? Bastaría simplemente con modificar el contrato de encargado del tratamiento y adaptarlo, únicamente informando a los titulares de los datos?
    Gracias

  51. Hola Jesús,
    He trabajado para una empresa desde casa de manera irregular, siempre con promesas de un contrato laboral que no llegaba. A los 3 meses, como no quise continuar en esa situación de precariedad y no me aseguraban, dejé de trabajar para ellos. Resulta que la empresa se ha puesto en contacto conmigo para que le firme un contrato de Tratamiento de Datos de Cuenta de Terceros, después de 3 meses de estar en esta situación. ¿No es necesario que nos vincule una relación laboral formal?

  52. Gracias por la aclaración. El problema que veo es que en estos tiempos se cuelan en el terreno de lo mercantil relaciones que deberían ser estrictamente laborales, y que para ahorrarse costes e inspecciones de trabajo, los empresarios los maquillan como supestamente mercantiles ¡Pero éso es otro cantar! Gracias de nuevo por la ayuda

  53. Buenas tardes
    A mi se me plante la siguiente pregunta en cuanto a encargado de tratamiento, si por ejemplo yo soy una asesoria pero dado los datos que recojo mios propios tienen un nivel básico, pero los datos que trato de mis clientes pueden ser medios (como por ejemplo tramitacion de curriculums, etc…). Al tratar datos de nivel medio aunque yo sea encargado del tratamiento debo adoptar medidas de seguridad de nivel medio aunque en mi documento de seguridad tenga nivel basico?

    Un Saludo

    • Irene: efectivamente, de forma independiente a tu calificación propia, cuando tratas datos de terceros has de hacerlo en las mismas condiciones aplicables al responsable del fichero. De hecho ese tercero debe exigírtelo contractualmente.

  54. Hola, soy CONCHAPB y tengo una duda, si yo soy proveedor (prestación de servicios) de una empresa y ésta tiene un asesor fiscal, cuya comunicación conmigo no está recogida en el contrato de prestación de servicios y al dirigirse a mi el asesor fiscal de la mercantil, en su primer email, incluye después del saludo y su nombre (de despedida) su nombre comercial, dirección, telefono, fax e email y abajo su nombre y apellidos además del texto en español y debajo en ingles anunciandome la inclusión en su fichero (cosa que ya tiene pues gestiona la retención del IRPF de la mercantil, con respecto a mi que soy autonomo) ¿ESTÁ HACIENDO UN USO COMERCIAL (de su propia empresa o servicios de asesoría) EN ESE PRIMER EMAIL QUE ME ENVÍA, cuando se pone en contacto conmigo como el asesor de la citada mercantil?

  55. Tito 13Enero 2017
    Hola. Tengo una empresa con una camara de videovigilancia, registrada en AGPD, y con grabacion hacia unas escaleras mecanicas en mi local. Hubo un acidente y la compania de seguros me solicita la grabacion. ¿Que debo de hacer.

    • Buenos días Francisco,
      En este caso, si la cesión de las imágenes en las que se constata el accidente sufrido en sus instalaciones, se efectúa a la compañía de seguros con la que usted tiene contratado el correspondiente seguro, dicha cesión de datos se encontraría amparada por lo previsto en el artículo 11.2.a de la Ley Orgánica 15/1999, al existir una norma con rango de Ley, la Ley de Contrato de seguro, de la que se deriva la obligación del asegurado de facilitar al asegurador toda la información relacionada con las circunstancias del siniestro. Gracias por leer el blog y por tu consulta

Dejar respuesta