Protección de datos. Contrato a firmar en caso de prestaciones de servicios sin acceso a datos

La ley limita la posibilidad de ceder datos de carácter personal. No obstante, no se considera cesión de datos el acceso de un tercero a los datos cuando dicho acceso es necesario para la prestación de un servicio.

Acceso a datos

La normativa de protección de datos limita la posibilidad de ceder datos de carácter personal. Por ejemplo, si tiene una base de datos con datos personales de clientes, sólo podrá cederla a un tercero si los titulares de esos datos lo han autorizado previamente.

No obstante, no se considera comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para prestar un servicio al responsable del tratamiento. Así pues, si su empresa contrata a una asesoría laboral y les envía los datos de sus trabajadores para que ésta le confeccione las nóminas, usted será el “responsable del fichero”, y la asesoría actuará como “encargado del tratamiento”.

Requisitos

Pero aunque este acceso no constituya una cesión de datos ni requiera el consentimiento del titular de los datos, deben cumplirse unos requisitos:

• Que el acceso a los datos por el tercero se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre regulada en un contrato.
• El contrato debe constar por escrito (o en alguna otra forma que permita acreditar su celebración y contenido) y debe establecer expresamente que el encargado del tratamiento sólo tratará los datos conforme a las instrucciones del responsable del tratamiento; que no los aplicará o utilizará con fin distinto al que figure en dicho contrato; ni los comunicará, ni siquiera para su conservación, a otras personas. 
• Que una vez realizada la prestación de servicios, los datos personales sean destruidos o devueltos al responsable del tratamiento, así como cualquier soporte o documentos en que conste algún dato personal.
• Que se estipulen las medidas de seguridad que el encargado del tratamiento debe implementar para garantizar la seguridad y evitar el acceso a los datos de terceros.

Prestaciones de servicios sin acceso a datos

Aunque se contrate una prestación de servicios que, a diferencia de las anteriores, no conlleve el acceso a datos personales (por ejemplo, si se contrata a un tercero para que preste el servicio de limpieza de la empresa), también se deberán cumplir algunas obligaciones. En estos casos, se exige al responsable del fichero o tratamiento que limite el acceso a datos (o a los soportes que los contengan) al personal que preste dicho tipo de servicios.

De esta manera, si se trata de personal ajeno a la empresa a quien se le presta el servicio, es necesario que el contrato de prestación de servicios recoja expresamente la prohibición de acceder a los datos personales, y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

Normativa aplicable

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Artículo 12.
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Artículo 83.