LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD) TEMA 3 Travesía del Monzón, 16 28220 Majadahonda (Madrid) Telf. 91 634 48 00 Fax. 91 634 16 58 www.belt.es marketing@belt.es
Índice 1. DEBER DE SECRETO (ART. 10)... 4 2. CESIÓN DE DATOS... 5 3. ACCESO A LOS DATOS POR CUENTA DE TERCEROS (OUTSOURCING) (ART. 12)... 6 Página 3
1. DEBER DE SECRETO (ART. 10) El artículo 10 de la LOPD establece que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Este deber de secreto debe ser adoptado por todo el personal laboral que accede a los Ficheros de datos; además en las empresas, este deber fijado por la Ley se ve complementado por la obligación profesional de confidencialidad y secreto descrita en el art.5.a) del Estatuto de los Trabajadores, que se mantiene vigente hasta la finalización de la relación laboral. Por ello, las obligaciones de secreto, confidencialidad y custodia incumben a todo el personal; y, de manera particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos personales. En cumplimiento de estas obligaciones, el personal laboral de las empresas que trate o acceda a los ficheros de datos de carácter personal no deberá ni podrá divulgar o comunicar a terceras personas la información o los datos que maneja o a los que tenga conocimiento en el desempeño de su cargo o funciones. Además, para garantizar la Confidencialidad de la Información dentro de las empresas y dada la importancia que la Información y documentación tiene para la actividad empresarial, el personal que acceda a los Ficheros de datos es recomendable que cumpla siempre con las siguientes medidas: a) Deberá actuar siempre conforme a sus obligaciones profesionales de confidencialidad y secreto, así como de acuerdo a lo dispuesto por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo. b) El acceso a los datos personales contenidos en ficheros únicamente se llevará a cabo por personal autorizado, limitado a las funciones y actividades a desempeñar. c) No revelará información a personas ajenas que no deban tener acceso a dicha información Página 4
2. CESIÓN DE DATOS El artículo 11 de la LOPD regula bajo el título Comunicación de datos, los supuestos de cesión de datos ajenos al tratamiento. Los datos personales objeto de almacenamiento o tratamiento sólo podrán ser comunicados o cedidos a terceros, si la cesión tiene por objeto el cumplimiento de fines directamente relacionados con las funciones de la empresa que los cede, y siempre con el previo consentimiento del afectado o interesado titular de dichos datos. No será necesario el consentimiento en los siguientes casos: Cuando la cesión esté autorizada por Ley. Cuando se trate de datos recogidos de fuentes accesibles al público. Cuando el tratamiento tenga por objeto el cumplimiento de los fines establecidos en una relación jurídica libre y legítimamente establecida por ambas partes, si para dicho cumplimiento es necesaria la conexión del tratamiento del fichero de terceros. Cuando la comunicación o cesión de datos tenga como destinatario al Defensor del Pueblo, Ministerio Fiscal, a los Jueces o Tribunales, o al Tribunal de Cuentas, en el ejercicio de sus funciones. Cuando la cesión de datos se dé entre Administraciones Públicas y tenga como finalidad el tratamiento posterior de estos con fines históricos, estadísticos o científicos. Cuando la cesión lo sea de datos personales relativos a la salud y sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios de epidemias de acuerdo con la legislación sobre sanidad. Así, no hay que olvidar que el Responsable del Fichero y a quién se hayan cedido los datos la necesidad de cumplir con las medidas de seguridad oportunas según el tipo de datos, permitir el acceso al afectado y la imposibilidad de realizar una nueva cesión a tercera persona sin el consentimiento del afectado. El consentimiento no es definitivo sino que el afectado tiene la posibilidad de revocar el consentimiento dado anteriormente. Por último indicar que la Ley establece como excepción a la necesidad de consentimiento del afectado, el supuesto en que los datos transmitidos en forma que no puedan se asociados al titular de los mismos, lo que se conoce como procedimiento de disociación. Página 5
3. ACCESO A LOS DATOS POR CUENTA DE TERCEROS (OUTSOURCING) (ART. 12) El artículo 12 establece que no se considerará comunicación de datos al acceso de un tercero a los mismos, cuando sea necesaria para la prestación de un servicio al responsable del fichero. De esta forma se crea una nueva figura que es el Encargado del Tratamiento. El Encargado del tratamiento podrá ser una persona física, jurídica, autoridad pública, servicio o cualquier otro organismo. Habría relaciones de encargado de tratamiento en los supuestos de outsourcing o prestación de servicios por empresas externas al responsable del tratamiento. Ejemplos diarios los encontramos en la cesión de datos para la gestión de nóminas de los empleados, las de marketing, selección de personal o mensajería, elaboración de software a medida, empresas que realizan labores de backup, o servicios de almacenamiento de datos tanto en soporte papel como en servidores para acceso a través de su red. En todos estos casos es necesario determinar con claridad las relaciones de encargo de tratamiento que mantiene el responsable del fichero. En el párrafo segundo del artículo 12 es muy claro a la hora de señalar las condiciones que deberán guardar el encargo. La realización del encaro deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciendo expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento sin utilizarlas para otros fines. Asimismo, en el contrato deberán constar las medidas de seguridad y la obligación impuesta de una vez cumplido el encargo destruir o devolver el soporte dónde se contengan. Página 6