Informe Jurídico 0494/2008



Documentos relacionados
Gabinete Jurídico. Informe 0545/2009

Gabinete Jurídico. Informe 0299/2009

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

Gabinete Jurídico. Informe 0393/2010

Gabinete Jurídico. Informe 405/2008

Gabinete Jurídico. Informe 0290/2008

En relación con esta cuestión, debe tenerse en cuenta que el criterio de esta Agencia, que puede resumirse del siguiente modo:

Gabinete Jurídico. Informe 0574/2009

Gabinete Jurídico. Informe 0084/2009

Gabinete Jurídico. Informe 0411/2009

Conservación de la Historia Clínica. Caso de jubilación o fallecimiento del médico. Informe jurídico 496/2007

CONTRATO DE PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS ART. 12 LOPD

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

Gabinete Jurídico. Informe 0033/2009

Responsabilidad del fichero de portabilidad. Informe 8/2006

Gabinete Jurídico. Informe jurídico 0216/2008

Gabinete Jurídico. Informe 0361/2010

Aviso Legal. Entorno Digital, S.A.

El encargado del tratamiento y el documento de seguridad del responsable del fichero

Gabinete Jurídico. Informe 0076/2014

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

BREVE NOTA SOBRE CONTRATACION PUBLICA Y PROTECCION DE DATOS. José Luis PIÑAR MAÑAS Catedrático de Derecho Administrativo

Gabinete Jurídico. Informe Jurídico 0413/2008

LA UNIVERSIDAD COLEGIO MAYOR DE CUNDINAMARCA CLAUSULAS CONTRACTUALES

Comunicación de datos entre empresas de un mismo grupo. Informe 325/2004

Gabinete Jurídico. Informe 0238/2009

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

Gabinete Jurídico. Informe 0049/2009

Gabinete Jurídico. Informe 0542/2009

Cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004

Precisamente la cuestión planteada deberá ser objeto de análisis, en primer lugar, desde la perspectiva de la Ley últimamente mencionada.

Gabinete Jurídico. Informe 0092/2009

Gabinete Jurídico. Informe 0346/2008

Gabinete Jurídico. Informe 0247/2009

Gabinete Jurídico. Informe 0194/2009

Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

Gabinete Jurídico. Informe Jurídico 0406/2008

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

Gabinete Jurídico. Informe 0600/2009

Gabinete Jurídico. Informe 0081/2010

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Acceso a datos escolares por padres y familiares. Informe 227/2006

Comunicación de datos incorporados a un expediente administrativo. Informe.197/2006

LOPD BURALTEC. Prestación de un servicio de alojamiento web en el extranjero

El supuesto analizado constituye una cesión o comunicación de datos de carácter personal.

III. En cuanto a su contenido, el artículo 3 dispone que el Registro incorporará el número y fecha de la Apostilla, el nombre y capacidad en la que

El contrato de acceso a datos por cuenta de terceros

CONTRATAS Y SUBCONTRATAS NOTAS

Gabinete Jurídico. Informe 0298/2009

Gabinete Jur?dico. Informe 0147/2013

Gabinete Jurídico. Informe 0560/2009

De este modo, sería posible considerar que la cesión de los datos resulta necesaria para el adecuado ejercicio de la profesión de abogado

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

OBLIGACIONES DE LOS TRABAJADORES AUTÓNOMOS

LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL CONTRATO DE PRESTACIÓN DE SERVICIOS

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Gabinete Jur?dico. Informe 0360/2013

Gabinete Jur?dico. Informe 0382/2012

LA LEY ORGANICA DE PROTECCION DE DATOS Y LAS CONSULTAS MEDICAS

Expediente Tribunal Administrativo del Deporte núm. 176/2014 TAD.

Gabinete Jurídico. Informe 0516/2008

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

En este sentido y en cumplimiento de las disposiciones de la Ley 25/2

LOPD EN L A E M P R E S A

Protección de Datos Personales

Gabinete Jurídico. Informe 0601/2009

Pues bien, el tenor de la norma citada, especialmente a la luz de lo que señala su exposición de motivos parece indicar que la inscripción queda

Gabinete Jurídico. Informe 0030/2010

POLÍTICA DE PRIVACIDAD DE LA SEDE ELECTRÓNICA DE LA AUTORIDAD PORTUARIA DE VALENCIA

REGLAMENTO DEL DEPARTAMENTO DE ATENCIÓN AL CLIENTE DE AEGON ESPAÑA S.A. DE SEGUROS Y REASEGUROS. Preliminar

Gabinete Jur?dico. Informe 0176/2012

En relación con la aplicabilidad a un supuesto similar al planteado de lo dispuesto en la Ley 34/2002, la citada resolución indica lo siguiente:

MODELO 6. Política de Privacidad, Protección de Datos y Formularios de contacto.

DICTAMEN JURIDICO SOBRE LA VALIDEZ DE LOS CONTRATOS DE SERVICIOS DE SEGURIDAD EN FORMATO ELECTRÓNICO EN EL ÁMBITO NORMATIVO DE LA SEGURIDAD PRIVADA

Cesión de datos de pasajeros a la Dirección General de Aviación Civil. Informe 526/2006

LOPD BURALTEC. Acreditación del deber de informar al interesado

G.BAYLIN CORREDURIA DE SEGUROS

Fuente: Ministerio de Economía y Hacienda.

RESOLUCIÓN Nº.: R/00978/2006. Vista la reclamación formulada por DOÑA I.M.A., contra la entidad OPUS DEI, y en base a los siguientes, HECHOS

GUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES

MOGA - Gestión LOPD consultoría- auditoria - formación c/ Caleria nº 5, Ofic.. 4º D Vigo (Pontevedra)

Gabinete Jurídico. Informe 0317/2009

LEY 26/2006, DE 17 DE JULIO, DE MEDIACIÓN DE SEGUROS Y REASEGUROS PRIVADOS.

Gabinete Jurídico. Informe jurídico 0196/2014

1. Gestión Prevención

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

DUDAS FRECUENTES LOPD

RESOLUCIÓN: R/01408/2011

CONTRATO DE CESIÓN DE USO DE APLICACIÓN INFORMÁTICA

Gabinete Jur?dico. Informe 0241/2011

POLÍTICA DE PRIVACIDAD (LOPD)

Gabinete Jurídico. Informe 0367/2009

CÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES

Gabinete Jurídico. Informe 0412/2009

Transcripción:

Informe Jurídico 0494/2008 La consulta plantea si es necesario para las empresas del grupo consultante formalizar un contrato con la central donde se encuentra la base de datos de los empleados del grupo que, si bien no se precisa en su escrito, parece hallarse en soporte informático, conforme a las previsiones contenidas en la Ley Orgánica 11/1999, de 13 de diciembre de Protección de Datos de Carácter personal. Según se desprende del contenido de la consulta, se prevé la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo. Si bien no se concretan los tratamientos, usos o cesiones de datos que pretenden hacer de dicha base, parece que en la consulta se están refiriendo a que la empresa central del grupo albergará el servidor que será donde se alojen los datos. I En primer lugar conviene señalar que es criterio uniforme de la Agencia Española de Protección de Datos, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades integradas en el mismo no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión. Este criterio ha sido ratificado por la Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, cuando en su fundamento de derecho cuarto señala que, Cualquier empresa es libre de constituirse en cualquiera de las formas societarias que el Derecho Mercantil regula. Asimismo, las empresas pueden unirse a través de las distintas formas reguladas en derecho: fusión, Absorción, etc. Pero, desde luego, lo que no cabe es que existan dos sociedades anónimas y, como tales, independientes y con personalidad jurídica autónoma y que por el hecho de que una sea propiedad de la otra, el particular que contrata con la primera pueda verse perjudicado, precisamente, por la estructura empresarial que la sociedad ha elegido. Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la

matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas. Atendiendo a lo que acabamos de indicar, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, teniendo en cuenta que el artículo 3 d) de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal define al mismo como Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. La propia consulta aclara que cada empresa del grupo gestiona sus datos, entre ellos la nómina, por lo que en el presente caso parece que la central se limitaría a prestar un servicio de alojamiento de sus ficheros en su servidor, como parte en una relación contractual de hosting, aunque la consultante no aclara si tal relación se encuentra documentada en contrato escrito. II Planteada la situación en estos términos, la empresa central prestataria del servicio de hosting se configuraría como encargado de tratamiento, en el sentido del apartado g) del mismo artículo 3, que lo define como La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero, dado que el acceso a los datos que se describe se efectuaría con la única finalidad de prestar servicios de alojamiento Web. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados. En consecuencia, cada empresa deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma. En consecuencia si por parte de alguna de las empresas pertenecientes al grupo, se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo, nos encontraríamos ante una situación clara de comunicación o cesión de datos entre empresas, definida en el artículo 3 i) de

la Ley Orgánica 15/1999, como Toda revelación de datos realizada a persona distinta del interesado y esta cesión requerirá el consentimiento del afectado conforme establece el artículo 11.1 de la Ley Orgánica 15/1999, al disponer que: los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. III En todo caso, sería de aplicación a la empresa central el régimen establecido en el artículo 12 de la Ley Orgánica 15/1999 y en el Capítulo III del Título II del Reglamento que la desarrolla, caracterizado por las siguientes especialidades: a) En primer lugar, será preciso que la actuación del encargado del tratamiento se limite a la prestación de los servicios objeto de la contratación. A tal efecto dispone el artículo 20.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999 que se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado. b) En lo que atañe a los requisitos formales, el artículo 12.2 de la Ley Orgánica impone que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. c) Por lo que respecta al periodo de conservación de los datos, el artículo 12.3 establece que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. Añade el artículo 20.3 del Reglamento que no obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo

previsto en el presente capítulo. El artículo 22.1 reitera esta previsión, al indicar que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. d) Por otra parte, a fin de preservar los derechos del encargado frente a posibles responsabilidades derivadas de su actuación, dispone el artículo 22.1 del Reglamento que el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. e) En lo referente a la posible subcontratación de los servicios prestados, el artículo 21 del Reglamento permite esta posibilidad en caso de que el responsable del fichero apodere al encargado para la celebración del segundo contrato en nombre de aquél o cuando se den los requisitos especificados en el apartado 2 del citado precepto: - Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. SI dicha circunstancia no se hubiera previsto en el contrato, deberá procederse a su modificación posterior, conforme al artículo 22.3. Igualmente, en caso de que en el contrato no conste la identificación de la empresa subcontratista será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. - Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. - Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato previsto en el artículo 12 de la Ley Orgánica. f) En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica, detallando el artículo 82 del Reglamento el modo en que deberán implantarse las medidas. g) Por último, según el artículo 12.4, en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, siendo, en consecuencia, de aplicación el régimen

sancionador establecido en los artículos 43 y siguientes de la Ley, sujetando el primero de ellos al encargado del tratamiento a dicho régimen. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback