LOS SERVICIOS DE EXTERNALIZACIÓN
Y LA PROTECCIÓN DE DATOS
En la actualidad, muchos negocios prefieren externalizar parte
de sus servicios a ciertas compañías especializadas
en un determinado aspecto normalmente técnico. Así,
el apartado informático lo depositan en manos de empresas
especializadas en este ámbito, y se ahorran el coste que
supone el tener un departamento en su propio negocio. De la misma
manera, muchas gestorías se encargan de la contabilidad
de una empresa, o gestionan las nóminas de los empleados.
El dueño de un negocio no tiene porqué ser "experto
en todo", y prefiere que otros que son profesionales en otros
ámbitos, se encarguen, de manera mas adecuada de una faceta
de su empresa. Esto lleva un traslado en archivos y datos que
contienen información personal bastante importante, y respecto
a esto hay que llevar una política adecuada para cumplir
con los requerimientos de nuestro Ordenamiento Jurídico.
A todo esto se conoce como "outsourcing", que podríamos
traducir literalmente como "externalización"
en su acepción castellana. En el outsourcing más
amplio, una empresa se involucra con otra para conseguir un fin
común, en una especie de "joint venture" pero
sin la creación de una nueva empresa. En el outsourcing
más técnico o menos amplio, no existe esa unión,
consonancia e intereses unidos como sí que los hay en el
primer caso.
Un ejemplo del primer caso sería el siguiente: el departamento
informático de una determinada empresa quiere realizar
un programa sobre las distintas carrocerías de un determinado
modelo de coche. Se involucra entonces con una empresa automovilística
para que unos aporten la faceta técnica-informática
y otro toda la parte técnica del mundo del motor. El resultado
es que se cuentan con profesionales muy cualificados de ambos
ámbitos, y las ganancias producidas atañen a los
dos, ya que a mayor eficiencia, mayor calidad y mayores ventas.
En este caso, durante unos meses o años e incluso por un
periodo indeterminado de tiempo, varios profesionales ajenos en
principio a la empresa "A" accederán a muchos
datos de la empresa "B".
El ejemplo del segundo caso es mucho más sencillo: hablamos,
en esta ocasión, de la típica gestoría que
lleva las nóminas de los empleados de un determinado negocio.
Aquí, igualmente, una segunda empresa accede a una probablemente
ingente cantidad de datos contenidos en ficheros de los empleados
de la empresa A, ya que para que la gestoría realice correctamente
su negocio necesita de dicha información. Sin embargo,
aquí el interés existente en el primer caso no existe:
se trata de una relación probablemente temporal aunque
indefinida, pero aquí no se produce la total integración
del personal de la empresa "A" en la "B" para
la realización de un fin común de la manera mas
apropiada posible. No obstante, la problemática en Protección
de Datos también parece clara. Ambos ejemplos exigen respuestas
claras, de manera que no se limite el fenómeno del outsourcing,
pero que no obstante, la Protección de Datos esté
a salvo, y la salida de datos de un negocio se haga con las debidas
garantías.
Varias son las recomendaciones llegados este punto:
-Si usted trabaja con asesorías, debe de prestar atención
al documento donde se contrataron los servicios. Dicho contrato
(usualmente, de prestación de servicios), debería
tener una cláusula específica de Protección
de Datos donde se hiciera referencia al destino de los mismos
y sus posibilidades de tratamiento. Si no existe, usted debería
de exigir su inclusión, o al menos la firma de un documento
aparte donde se haga referencia al uso que la empresa gestora
va a hacer de los datos personales de su negocio o empresa.
-La ley afirma que "la realización de tratamientos
por cuenta de terceros deberá estar regulada en un contrato
que deberá constar por escrito o en alguna otra forma que
permita acreditar su celebración y contenido, estableciéndose
expresamente que el Encargado del Tratamiento únicamente
tratará los datos conforme a las instrucciones del responsable
del tratamiento, que no los aplicará o utilizará
con fin distinto al que figure en dicho contrato, ni los comunicará,
ni siquiera para su conservación, a otras personas".
Por tanto, todos esos extremos deberán estar clarificados.
-Una vez terminada su relación con la gestoría
o empresa, dichos datos deben de ser destruidos, o devueltos al
responsable de su empresa, incluyendo todos los documentos donde
hubiere algún dato de carácter personal.
-Sin embargo, existe la posibilidad de que la empresa gestora
realice un incumplimiento contractual en esta materia. El apartado
4 del artículo 12 habla de esa posibilidad: "en el
caso de que el Encargado del Tratamiento destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones
del contrato, será considerado también responsable
del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente". Además de un incumplimiento
contractual por la que se pueden pedir las lógicas indemnizaciones,
el responsable (el que ha manejado los datos en la gestoría)
estará sometido al régimen sancionador de la LOPD.
Igualmente, será también responsable el Responsable
de Seguridad y Encargado del Tratamiento de la empresa que ha
solicitado los servicios de la gestoría, como responsables
y autores del acceso de esos datos a una empresa tercera.
-Igualmente, cesiones de datos temporales o aleatorias, de manera
breve, pueden encuadrarse dentro del supuesto del artículo
11 "comunicación de los datos". Como regla general,
se pide el consentimiento del afectado para que se produzca esta
comunicación. En dicho artículo, se afirma que dicho
consentimiento no se hará efectivo cuando:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles
al público.
c) Cuando el tratamiento responda a la libre y legítima
aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima
en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por
destinatario al Defensor del Pueblo, el Ministerio Fiscal o los
Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio
de las funciones que tiene atribuidas. Tampoco será preciso
el consentimiento cuando la comunicación tenga como destinatario
a instituciones autonómicas con funciones análogas
al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones
públicas y tenga por objeto el tratamiento posterior de
los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal
relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en
la legislación sobre sanidad estatal o autonómica.
De todas estas posibilidades, la que mas nos interesa es la "c".
La comunicación de los datos ha de estar en consonancia
con la finalidad de los mismos. Además, es necesaria una
relación jurídica. En estos casos NO es necesario
el consentimiento del afectado. Como regla general, "un acceso
a los datos por cuenta de terceros" equivale a un acceso
homogéneo, temporal e indefinido, donde se establece una
relación estable entre dos empresas, y una de ellas necesita
el acceso a los datos de la otra. Una "comunicación
de los datos" tiene otras características, en tanto
se encuadra mas en situaciones aleatorias no homogéneas
y casi puntuales de acceso a un determinada información
o informaciones referente a unos datos personales. Aquí
no existe un contrato donde se necesiten regular estos extremos.
Esta segunda opción es claramente mucho más flexible.
El Encargado del Tratamiento es la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo
que, sólo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento. El caso particular
es el anteriormente mencionado: quien accede a los datos para
prestar un servicio al responsable del fichero o tratamiento en
los términos del artículo 12 de la Ley. En muchas
ocasiones, el organismo o empresa que pidió los datos realizará
el tratamiento en sus propias instalaciones con su personal. Otras
veces, por distintos motivos (averías, mantenimiento de
equipos...) los datos se tratarán por un tercero, en sus
instalaciones y con su personal, tras la firma del correspondiente
contrato. El responsable del fichero es la persona "dueña"
de los datos, el Encargado del Tratamiento es quien realiza el
servicio. Tanto unos como otros deben de estar perfectamente identificados
en el Documento de Seguridad.
Quien efectúa el tratamiento para el responsable se obliga
a prestarlo en el nivel de calidad pertinente, observar confidencialidad
y tomar las medidas adecuadas para garantizar la seguridad de
la información. El Encargado del Tratamiento es un tercero
que trata los datos personales siguiendo las instrucciones del
responsable si bien no bajo la dependencia o autoridad del mismo
desde el punto de vista laboral (esto es importante, ya que si
no, no nos encontraríamos en la órbita del artículo
12). No es un empleado del responsable: le presta sus servicios
al amparo de un contrato de esta índole cuyos requisitos
básicos aparecen diseñados por la Ley, con carácter
imperativo, en dicho artículo.
Como el acceso del prestador del servicio no supone la revelación
de datos al mismo en los términos en que la norma concibe
dicha comunicación, hay que entender que no le será
aplicable el artículo 11.5 y, por lo mismo, el tercero
no estará sometido a los preceptos de la ley a salvo las
específicas normas del artículo 12.
En consecuencia, si el tercero tiene que someter al tratamiento
los datos a los que accede, dicho tratamiento no requerirá
el consentimiento del afectado. Dicho de otra forma, se entiende
que dicho consentimiento del interesado, prestado originariamente
al responsable del fichero, se extiende al tercero por la vía
de la relación de prestación del servicio al responsable
del fichero.
Otra forma de explicar esta idea estribaría en considerar
que no ha lugar a la prestación del consentimiento del
afectado para el tratamiento de los datos por el tercero, en cuanto
que el sujeto activo de dichos tratamiento es el propio responsable
por cuya cuenta actúa el prestador de los servicios, conclusión
que resulta de los términos del artículo 3 g de
la ley.
Realmente, quien accede al fichero es el tercero, el prestador
del servicio, quien, por los mismo, se encarga del tratamiento
por cuenta del responsable.
Por último, es claro que si el Encargado de tratamiento
incumple la obligaciones -por ejemplo, destinando los datos a
otra finalidad distinta-, dicho Encargado será considerado
responsable.
ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología
Digital
Master en Derecho de las Telecomunicaciones y Tecnologías
de la información por la Universidad Carlos III
