Según la definición que nos da la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en su artículo 3 apartado g, el encargado del tratamiento es “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

Hagamos sencilla de entender esta definición. Cuando se refiere al Responsable del Tratamiento, quieren decir la entidad que recoge, directa o indirectamente, los datos. Y cuando se refiere al Encargado del Tratamiento está haciendo referencia a los proveedores de servicios que para realizar la actividad que les hemos contratado necesitan de los datos personales que nosotros utilizamos en nuestra actividad y que nos facilitan los clientes, las personas que nos solicitan información, otros proveedores, nuestros trabajadores, etc.. Podríamos identificarlos como la gestoría que nos lleva la contabilidad o nos hace las nóminas, la empresa de prevención de riesgos laborales, la empresa de protección de datos, la empresa que nos hace le mantenimiento del ordenador o del programa informático, los proveedores logísticos si necesitan los datos del cliente para hacer el servicio de entrega a domicilio, la alarma con fotos, etc..

Veamos ahora que refiere el artículo 12 de la misma ley respecto de esta relación entre la entidad y esos proveedores de servicios. Este artículo en su apartado 2 regula que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. También hace referencia a una circunstancia, que normalmente hacemos poco caso y, que es muy importante: la subcontratación de nuestro proveedor con terceros.

Queda claro en lo dispuesto en este apartado 2 del artículo 12 que con cada proveedor se debe firmar un contrato. Y que la falta de este contrato es una infracción y la misma puede suponer para el titular de la entidad una sanción. Veamos pues, ahora, que tipo de sanción puede imponernos la Agencia Española de Protección de Datos basándose en su potestad sancionadora.

La nueva redacción del artículo 44 de la LOPD en su apartado 2.d expone que “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley” es una infracción leve.

Y por dar continuidad a nuestra exposición, vamos a detallar que nos dice el artículo 45 de la LOPD respecto de las sanciones que se impondrán a infracciones consideradas como leves: “Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros”.

Por todo lo expuesto hasta ahora, y sin querer entrar en otras circunstancias que podrían agravar la responsabilidad del titular de la entidad, la entrega de datos a un proveedor de servicios sin resolver todas las disposiciones legales puede suponer una multa, de solo 900€ en su límite mínimo y 40.000€ en el máximo.

Ya sea por motivos como acumulación de infracciones producidas por un incorrecto sistema de protección de datos que no asegura el cumplimiento efectivo de la ley o incluso en poder llegar, en casos excepcionalmente graves, a incurrir en una culpa “in vigilando” que podría llegar a exigir responsabilidades tanto en el ámbito civil como en el penal.

Por todo lo expuesto, recomendamos tener un sistema que asegure el cumplimiento efectivo de la normativa de protección de datos personales. Si pueden o saben hacerlo por sus propios medios, háganlo. Y si no fuera así, póngase en manos de una empresa que le dé garantía de su cumplimiento efectivo.

Nosotros estamos a su disposición

.contrato