Gabinete Jurídico. Informe 0457/2008

Documentos relacionados
Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a una Asesoría de Empresas y a sus Clientes

En este sentido entre las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la

ANEXO VI PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

II.1. Situación actual 2. II.2. Necesidades requeridas 2 III. DESCRIPCIÓN DE LOS SERVICIOS A CONTRATAR 2 3 IV. ORGANIZACIÓN DE LOS TRABAJOS 4

Tratamiento conforme a la legislación de prevención de riesgos laborales. Informe 434/2004

CONFERENCIA SOBRE PROTECCIÓN N DE DATOS DERECHOS Y DEBERES DE LOS ADMINISTRADORES DE FINCAS

INSPECCIÓN A UN FICHERO COMÚN DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL E INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS (*)

P02 -Procedimiento de Formulación de requerimientos a las personas y entidades que intervienen en los mercados de valores

Consulta 1. Respuesta

Gabinete Jurídico. Informe 0179/2010

I- OBJETO DEL CONTRATO.

Gabinete Jurídico. Informe 0477/2009

Cesiones de datos en acciones formativas subvencionadas. Informe 50/2006

La Ley de Protección de Datos y el Autónomo

EXPOSICIÓN DE MOTIVOS

PROTECCIÓN DE DATOS Y CÁMARAS DE VIGILANCIA. ATEEX SEGURIDAD, S.L.U. Av. del Valle, PLASENCIA (Cáceres)

MANUAL DE POLITICAS INTERNAS DE USO DE CORPORACIÓN TEXTILGRUPO BOGOTÁ

RESPUESTA A LA CONSULTA PLANTEADA POR UNA EMPRESA EN RELACIÓN CON LA POSIBILIDAD DE DELEGACIÓN O SUBCONTRATACIÓN DE LOS SERVICIOS DE REPRESENTACIÓN

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

Qué es el Portal de la Transparencia de la Comunidad de Madrid?

REGISTRO DE MOROSOS: NORMAS DE FUNCIONAMIENTO

BOLETÍN OFICIAL DEL ESTADO

LEGISLACIÓN CONSOLIDADA. TEXTO CONSOLIDADO Última modificación: sin modificaciones

LOTE 1. EDUCACIÓN SOCIAL Y APOYO PSICOSOCIAL CON FAMILIAS EN DIFICULTAD SOCIAL

Gabinete Jurídico. Informe 0248/2010

BOLETÍN OFICIAL DEL ESTADO

PLIEGO DE CONDICIONES TÉCNICAS QUE HAN DE REGIR EL CONTRATO DE ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE LOS

(BOE núm. 134, de 5 de junio de 2003)

Empresas de Trabajo Temporal y Empresas Usuarias: mecanismos de coordinación

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros,

RESUMEN DE LA POLÍTICA DE CONFLICTOS DE INTERÉS GRUPO CIMD

1. CONDICIONES SOBRE POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS.

CONTRATO DE SERVICIOS DE COLABORACIÓN DE ADMINISTRACIÓN COMPLEMENTARIA REUNIDOS

Real Decreto 183/2004, de 30 enero SUMARIO

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

Obligaciones de prevención de riesgos laborales respecto de los trabajadores desplazados al extranjero.

Gabinete Jurídico. Informe 0660/2008

1/2005, de 9 de marzo, por la que se regula el régimen de comercio de derechos de emisión de gases de efecto invernadero.

almacenamiento de residuos, estableciendo los requisitos que deben cumplir este tipo de instalaciones.

ORDEN ESS/41/2015, de 12 de enero

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

CÁMARA DE COMERCIO DE BOGOTÁ POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

LEGISLACIÓN CONSOLIDADA. TEXTO CONSOLIDADO Última modificación: sin modificaciones

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA ORGANIZACIÓN Y DESARROLLO DEL PROYECTO DE TERAPIA OCUPACIONAL CON PERSONAS MAYORES DEL DISTRITO

BEATRIZ BADORREY MARTÍN, SECRETARIA GENERAL DE LA UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA,

INFORME DEL COMITÉ DE AUDITORÍA SOBRE LA INDEPENDENCIA DE LOS AUDITORES DURANTE EL EJERCICIO 2015

INFORME 3/03, DE 18 DE MARZO DE 2003 SUPERVISIÓN DE PROYECTOS DE OBRAS. OFICINAS DE SUPERVISIÓN. SUSTITUCIÓN.

REAL DECRETO 2274/1985, DE 4 DE DICIEMBRE, POR EL QUE SE REGULAN LOS CENTROS OCUPACIONALES PARA MINUSVÁLIDOS

BOLETÍN OFICIAL DEL ESTADO

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO DECRETO NÚMERO DE 2012 ( )

PREVENCIÓN DE RIESGOS LABORALES vs PROTECCION DE DATOS DE CARÁCTER PERSONAL

NORMATIVA y jurisprudencia

La Contratación y Subcontratación en el sector de la Construcción tras las últimas Reformas. Octubre 2006

Unidad 4. Libro de obra de construcción de red

ADQUISICIÓN DE EQUIPOS DE TRABAJO

Acceso al padrón por las Fuerzas y Cuerpos de Seguridad. Informe 211/2004. Acceso por las Fuerzas y Cuerpos de Seguridad a los datos del Padrón

Article 12 de l Estatut dels Treballadors.

R.D. 1720/2007 de REGLAMENTO DE DESARROLLO DE LA LOPD

Circular nº 04/2016, de 29 de enero ENTIDADES EMISORAS DE VALORES

Formación del censo electoral de ciudadanos de la Unión Europea residentes en España

PLAN DE ACTUACIONES DE LA INSPECCIÓN DE SERVICIOS DE LA UNIVERSIDAD DE MÁLAGA

Gabinete Jurídico. Informe 0035/2010

Resolución de Desarrolla el art. 3.º.

sobre las notificaciones de pasaporte de intermediarios de crédito con arreglo a la Directiva 2014/17/UE («Directiva de crédito hipotecario»)

REGULACIONES PARA EL TRASPASO DE BIENES EN FIDEICOMISO

LA NUEVA LEY DE TURISMO DE ANDALUCÍA ( LEY 13/2011 ) HA ENTRADO EN VIGOR EL DIA 31 DE ENERO DE

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

Reglamento del Archivo del Colegio Nacional

Vicios ocultos 323/12

TEXTO. REGISTRO BOMEH: 17/2015 PUBLICADO EN: BOE n.º 95, de 21 de abril de Disponible en:

MANUAL DE OPERACIÓN DE LA NORMATECA INTERNA DE LA SECRETARÍA DE DESARROLLO ECONÓMICO

5. PROCEDIMIENTO DE GESTIÓN DE OFERTAS Y CONTRATOS

PROGRAMA PARA LA PREVENCIÓN DE DELITOS EN LA EMPRESA

BOLETÍN OFICIAL DEL ESTADO

MODELO DE CONTRATO DE OBRA POR ENCARGO

Entidades de distribución Entidades de intermediación

PLIEGO DE ESPECIFICACIONES TECNICAS PARA LA CONTRATACION DE UN ESTUDIO DEL ESTADO DEL ARTE DE LAS TECNOLOGÍAS DE ILUMINACIÓN EXTERIOR

BOLETÍN OFICIAL DEL ESTADO

PLANIFICACIÓN DE LA PLANIFICACIÓN DE LA REALIZACIÓN DEL PRODUCTO HOTEL - RESTAURANTE PIG-14. Fecha: Edición: 01 Página: 1/7.

Políticas de confidencialidad y manejo seguro de la información Políticas de confidencialidad y manejo seguro de la información

PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HA DE REGIR EL CONTRATO DE SERVICIO DE DIGITALIZACIÓN DE HISTORIAS CLÍNICAS DEL HOSPITAL COMARCAL DE MELILLA

CONTRATO DE SERVICIOS DE COLABORACIÓN DE ADMINISTRACIÓN COMPLEMENTARIA REUNIDOS

Artículo 1. Objeto y ámbito de aplicación

TERCERIZACIÓN DE SERVICIOS Y TERCERIZACION DE LOS PROCEDIMIENTOS DE DEBIDA DILIGENCIA.

Estatuto de autonomía de Cataluña (BOE núm. 172, )

MANUAL 1 DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO. Bolsa de Comercio de Santiago, Bolsa de Valores

Gabinete Jur?dico. Informe 0342/2012

LEGISLACIÓN DE INDUSTRIA, TURISMO Y COMERCIO

BOLETÍN OFICIAL DEL ESTADO

CUESTIÓN-PLANTEADA: Aplicación del supuesto de inversión del sujeto pasivo establecido en el artículo 84.Uno.2º, letra g) de la Ley 37/1992.

CONSULTAS PROYECTO CSP 10 / Revisión de precios: vigencia normativa.

TEXTO. REGISTRO BOMEH: 1/2016 PUBLICADO EN: BOE n.º 312, de 30 de diciembre de 2015.

Términos y condiciones de uso Solicitud y pago de Certificados electrónicos

1. Quién encomienda a los poderes Públicos, velar por la seguridad e higiene en el trabajo?

Convocatoria 2008 Programa Intersectorial para la Difusión de la Cultura Preventiva. Resumen

PROGRAMA 135M PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

las organizaciones sindicales y empresariales estructura

Criterios básicos de sistemas técnicos de juego y homologaciones.

BEATRIZ BADORREY MARTÍN, SECRETARIA GENERAL DE LA UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA,

Febrero 2007 (Revisada en febrero de 2011 en relación con las modificaciones introducidas en la LAC por la Ley 12/2010) GUÍA DE ACTUACIÓN

Transcripción:

Informe 0457/2008 La consulta plantea qué medidas debe adoptar el responsable que ha contratado la prestación de un servicio que comporta el tratamiento de datos personales por un tercero encargado para asegurarse que éste cumple con las garantías exigidas por la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y su Reglamento, Real Decreto 1720/2007, de 21 de diciembre. I La consulta se refiere en concreto a lo dispuesto en el artículo 20.2 del Reglamento, Real Decreto 1720/2007 que dice: Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento. Por otra parte, en el Título VIII del Reglamento desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal, figurando entre estas medidas la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal. La Ley Orgánica 15/1999 establece en su artículo 9. 1 que el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. En su número 2 dice que No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

A su vez el artículo 12. 2 de dicha Ley señala que La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. En su número 3 dice que Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento. Su número 4 señala por último, que En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. En el mismo sentido se pronuncia el artículo 20.3 del Real Decreto 1720/2007, añadiendo que No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiere encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo. A su vez, el artículo 12 de la Ley trae causa del artículo 17 de la Directiva 95/46 del Parlamento Europeo y del Consejo de 24 de octubre de 1995 referido a la seguridad del tratamiento, cuyo número 2 señala que Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamientos por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas. Y su número 3 dice que La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga en particular: - que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento. - que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste. Por último, su número 4 establece que A efectos de conservación de la prueba, las partes del contrato o del acto jurídico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 (medidas técnicas y organizativas) constarán por escrito o en otra forma equivalente.

La conclusión de la regulación citada es la de que el encargado debe limitarse a tratar los datos por cuenta del responsable y de acuerdo con sus instrucciones (.como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita su ámbito de actuación para la prestación de un servicio, según reza el artículo 5 del Reglamento). De modo que la exigencia de contrato escrito en el tratamiento de datos personales por cuenta de tercero con el contenido determinado por el articulo 12 de la Ley Orgánica constituye un requisito de garantía y de que el tratamiento de datos así estipulado no supone una comunicación inconsentida de datos por parte del cedente y un tratamiento indebido por parte del tercero cesionario, atendiendo a lo dispuesto en los artículos 6 y 11 de dicha Ley, que podría dar lugar a la aplicación del régimen sancionador contemplado por el artículo 43 de la Ley. La obligación que incumbe al responsable del tratamiento de datos de no ceder o comunicar datos a un tercero para que los trate por su cuenta se entenderá cumplida cuando, tras elegir a este encargado de tratar los datos, las relaciones entre ambos, en lo que respecta a la protección de datos personales, se instrumente el contrato escrito o cualquier otra forma que permita acreditar su celebración, en el que figurarán las medidas técnicas y organizativas que la otra parte del contrato, el encargado, estará obligado a cumplir desde el momento de su suscripción. Cabe resaltar entre la numerosa jurisprudencia sobre el artículo 12 de la Ley 15/1999, la STS de 17 de abril de 2007 que ha resaltado la finalidad de este artículo y en particular de los rigurosos requisitos que se establecen en relación con el contrato en él regulado: lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto. Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento. II En el Reglamento, Real Decreto 1720/2007 se regulan previsiones y obligaciones en relación con el encargado del tratamiento en el título II, de principios de la protección de datos, en sus artículos 20, 21 y 22, y en el título VIII, artículos 82 y 88 se contemplan las garantías de seguridad que deberá cumplir el encargado del tratamiento de conformidad con el artículo 12 de la Ley15/1999. El artículo 20. 2 que cita el consultante introduce un poder de supervisión sobre el encargado que se traduce en que el responsable del fichero o tratamiento estará legitimado para realizar controles durante el período de vigencia del contrato para verificar el cumplimiento de las medidas

de seguridad establecidas y adoptar las medidas correctoras oportunas. Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a datos de carácter personal. Disponer de este documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar, que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente de acuerdo con lo dispuesto en el artículo 88 del Reglamento que regula su contenido. El artículo 88. 5 establece que Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado, con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. En su número 6 determina que En los casos en los que los datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados. En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados, que puedan influir en el cumplimiento de las medidas de seguridad implantadas. Según reza el número 7 del mismo artículo. Este documento ha de especificar los procedimientos y controles periódicos a realizar para verificar el cumplimiento por el encargado del tratamiento de lo dispuesto por el propio documento, lo que el responsable puede hacer constar como cláusula del contrato entre ambos y en las instrucciones que señale al encargado al respecto. Las medidas de seguridad adoptadas por el encargado del tratamiento deberán plasmarse en un documento de seguridad distinto al que haya de realizarse por el responsable del fichero o tratamiento, dado que los extremos a incluir en el documento se referirán a las actividades desarrolladas por el encargado del tratamiento, no coincidiendo éstas en la mayor parte de los casos con las que realice el responsable.

III El Reglamento clasifica las medidas de seguridad que deberán implementarse y especificarse en el documento de seguridad en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información (artículos 80 a 114 ). Cualquier operación de tratamiento realizada sobre un determinado fichero, una de las cuales sería la atribuida al encargado del tratamiento, deberá someterse a las medidas de seguridad que para ese fichero imponga el Reglamento. En consecuencia, el hecho de que el encargado del tratamiento pudiera acceder, aunque fuera de manera excepcional o puntualmente, a datos a los que por aplicación del Reglamento les resulte de aplicación las medidas de seguridad de nivel medio o alto, ello implicaría que aquél deberá cumplir con las exigencia que para este tipo de datos dispone el Reglamento, incluido su reflejo en el documento de seguridad. A partir del nivel medio y alto de medidas de seguridad, el Reglamento exige que en el documento de seguridad se designe el responsable de seguridad artículos (95 y109) encargado de coordinar y del control periódico de las medidas definidas en el documento y que, en ningún caso, supone una exoneración de las responsabilidades en que puedan incurrir tanto el encargado como el responsable del tratamiento. No parece ilógico concluir que el responsable de seguridad pueda verificar que el encargado del tratamiento cumple con las estipulaciones del contrato del artículo 12 de la Ley y comunique los incumplimientos posibles al responsable posibilitando que éste vigile o vele por que el encargado cumpla las garantías de la protección de datos, es decir, que cumpla de buena fe con las obligaciones nacidas del contrato o negocio jurídico suscrito, como establece el artículo 1258 del Código Civil para todos los contratos. IV Así mismo, el artículo 96. 1 del Reglamento exige que los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se sometan, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título VIII. Su realización es obligatoria para ficheros de nivel medio y alto, al menos cada dos años y, excepcionalmente, si se han realizado modificaciones sustanciales en el sistema de información, deberá realizarse una auditoría para comprobar la adecuación, adaptación y eficacia de las medidas de seguridad. El informe que resulte de la auditoría deberá pronunciarse sobre tales extremos y las recomendaciones propuestas, que deberán ser analizados por el responsable

de seguridad, que las elevará, a su vez, al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas. Por último, señala su número 3 que dicho Informe quedará a disposición de la Agencia Española de Protección de Datos, lo que convierte al mismo en un soporte de información respecto al cumplimiento de la normativa sobre protección de datos por parte tanto del responsable como del encargado de los tratamientos. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback