Contrato de acceso a datos personales por cuenta de terceros

El contrato de acceso a datos personales por cuenta de terceros sirve para regular el acceso a datos personales entre el responsable del tratamiento y el encargado del tratamiento durante la prestación de servicios que este último presta al primero. En otras palabras, mediante este contrato se establecen las condiciones según las cuales el encargado del tratamiento, durante la prestación de los servicios contratados (ej. una gestoría que se encarga de las nóminas de los empleados), realizará el tratamiento de los datos personales propiedad del responsable del tratamiento.

• Responsable del tratamiento: es el propietario de los datos personales, y quien determina los fines y los medios relacionados con el tratamiento de los datos personales. Es quien decide por qué y cómo deberán tratarse los datos personales.
• Encargado del tratamiento: es aquella persona física o jurídica externa a la que se contrata para que preste un servicio determinado. Por tanto, el encargado del tratamiento trata los datos personales únicamente a petición del responsable del tratamiento, y deberá seguir sus directrices. Por ejemplo, una gestoría que presta al responsable del tratamiento servicios laborales o fiscales.

Por ejemplo, una compañía que tiene muchos empleados firma un contrato con una empresa de nóminas, para poder pagarles los salarios. La compañía indica a la empresa de nóminas cuándo deben pagarse las nóminas, cuándo un empleado abandona la compañía o si tiene un aumento de sueldo, y proporciona toda la demás información sobre la nómina y el pago. La empresa de nóminas proporciona el sistema informático y conserva los datos de los empleados. La compañía es el responsable del tratamiento y la empresa de nóminas es el encargado del tratamiento.

¿Qué significa "tratar datos personales"?

Toda persona u organización que obtenga datos personales total o parcialmente automatizados, deberá tratar dichos datos personales. El tratamiento incluye una gama amplia de operaciones como por ejemplo: la obtención, registro, cesión, comunicación, organización, conservación, modificación, consulta, utilización, limitación, supresión o destrucción de datos personales, entre otros.

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), los responsables y/o encargados de datos tienen la obligación de mantener un Registro de Actividades de Tratamiento (RAT), que sustituye la anterior obligación de comunicar a las autoridades de control la existencia de "ficheros" de tratamiento de datos personales. El RAT es un documento en el que se incluye información pormenorizada acerca de los datos personales que tiene una persona u organización (de los trabajadores, alumnos, clientes, pacientes, etc) y que son objeto de su tratamiento. Las informaciones que se pueden encontrar son: las personas físicas o jurídicas a las que van destinadas dichos datos, los plazos de supresión, y el fin que persigue su tratamiento.

El Registro de Actividad de Tratamiento está íntimamente relacionado con el Libro registro de incidencias en el tratamiento de datos personales ya que este último se debe elaborar como anexo del primero. En otras palabras, el Registro de Actividad de Tratamiento de cualquier persona u organización que trate datos personales debe contener como anexo un Libro Registro de Incidencias en el cual se incluyan todas aquellas incidencias que afectan a datos de carácter personal (error o fallo de funcionamiento del sistema de información que pueden ocasionar que terceras personas tengan acceso a la información personal que se encuentra alojada en el sistema).

¿El acceso a datos por cuenta de un tercero es lo mismo que la cesión de datos?

No. En la cesión de datos, el responsable cede los datos personales de un Registro de Actividad de Tratamiento (anteriormente llamado "fichero") a un tercero (el cesionario), previa notificación y consentimiento del interesado, con el objetivo de que el cesionario lo use con una finalidad autónoma, y trabaje por su propia cuenta y riesgo. Por otro lado, el acceso a datos por cuenta de un tercero conlleva la prestación de un servicio por parte de una tercera empresa al responsable del tratamiento, que accede a los datos personales para el cumplimiento de la prestación contratada. Por tanto, mientras que en la cesión el cesionario tiene poder de decisión sobre los datos personales, en el tratamiento/acceso de datos por cuenta de tercero, la persona que trata los datos únicamente puede utilizarlos para realizar el servicio contratado.

Por ejemplo:

• El acceso de datos personales ocurre cuando la empresa responsable contrata una asesoría laboral para que gestione las nóminas de los trabajadores, o cuando se contrata servicios informáticos, o cuando se contrata a una empresa para una campaña de marketing. En estos casos, ambas partes tendrán que firmar el presente contrato para el acceso a datos que debe recoger el objeto de la prestación contratada, mencionar que el acceso a los datos personales es necesario para el cumplimiento del objeto contractual, y las obligaciones del encargado del tratamiento.
• La cesión de datos personales ocurre cuando el responsable del tratamiento cede los datos personales a una tercera persona, como por ejemplo, una empresa de publicidad. La empresa de publicidad podrá utilizar estos datos personales como quiera, pudiendo decidir sobre el motivo y la finalidad del tratamiento de los mismos, como por ejemplo, para que ésta anuncie sus productos. En este caso estaríamos ante una cesión de datos personales, y las partes tendrían que firmar un contrato de cesión de datos personales a un tercero.

¿Cómo utilizar este documento?

Cuando una empresa externa preste servicios a una persona o empresa que sea responsable de los datos personales, se tendrá que rellenar el presente contrato. Este contrato entre el responsable y el encargado del tratamiento de datos personales, tiene por objetivo concretar el tratamiento de datos personales e identificar las medidas de seguridad que el encargado debe ofrecer.

A través de este contrato se cumplirá con todas las exigencias legales, incluyéndose en él, lo siguiente:

• El nombre y los datos de contacto del responsable del tratamiento;
  
• El nombre y los datos de contacto del encargado del tratamiento;
• Las categorías y los datos personales a los que tendrá acceso el encargado del tratamiento;
• La finalidad del tratamiento de datos personales (el encargado del tratamiento se obligará a no utilizarlos con otros fines);
• La duración;
• Las medidas de seguridad a las que estará obligado a aplicar el encargado del tratamiento;
• El régimen de subcontratación: es decir, si el encargado del tratamiento puede o no subcontratar parte del tratamiento de los datos personales comunicándolo o no previamente al responsable del tratamiento;
• Los derechos de los interesados;
• El destino de los datos al finalizar la prestación;
• Las obligaciones del responsable y el encargado del tratamiento;
• El deber de confidencialidad: es decir, si las partes tendrán la obligación de guardar el secreto de informaciones a las que puedan acceder por razón de su cargo y cuya difusión esté legalmente prohibida.

El responsable del tratamiento tiene la obligación de mantener una responsabilidad proactiva, por lo que deberá comprobar habitualmente que los datos no son utilizados con fines distintos a los determinados en el contrato ni se comunican a otras personas. Esto lo pueden hacer, por ejemplo, solicitando informes trimestrales/anuales/etc en los que el encargado de tratamiento deba especificar cómo y cuándo han tratado los datos personales. En el supuesto en el que se el encargado del tratamiento haya incumplido con esta obligación, el responsable del tratamiento podrá rescindir el contrato y denunciarlo ante la Agencia Española de Protección de Datos.

Una vez cumplimentado el documento con las informaciones necesarias, el contrato debe ser firmado por las partes o, en su caso, por sus representantes, que deberán exhibir la autorización, o en su caso poder notarial, que les habilita a ello en el momento de la firma. El contrato debe ser firmado al menos en dos ejemplares, para que cada una de las partes conserve una copia.

Legislación aplicable

Al contrato de acceso a datos personales por cuenta de terceros le es aplicable el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Ayuda de un abogado

También tienes la opción de consultar a un abogado si necesitas ayuda.

El abogado puede contestar a tus preguntas o ayudarte en tus trámites. Al final de la creación del documento, se te ofrecerá esta opción.

¿Cómo modificar el modelo?

Rellenas un formulario. El documento se va redactando ante tus ojos, en función de tus respuestas.

Al finalizar, lo recibirás en los formatos Word y PDF. Puedes modificarlo y volver a utilizarlo.