Los servicios de externalización y la protección de datos
En la actualidad, muchos negocios prefieren externalizar parte de sus servicios a ciertas compañías especializadas en un determinado aspecto normalmente técnico. Así, el apartado informático lo depositan en manos de empresas especializadas en este ámbito, y se ahorran el coste que supone el tener un departamento en su propio negocio. De la misma manera, muchas gestorías se encargan de la contabilidad de una empresa, o gestionan las nóminas de los empleados. El dueño de un negocio no tiene porqué ser “experto en todo”, y prefiere que otros que son profesionales en otros ámbitos, se encarguen, de manera mas adecuada de una faceta de su empresa. Esto lleva un traslado en archivos y datos que contienen información personal bastante importante, y respecto a esto hay que llevar una política adecuada para cumplir con los requerimientos de nuestro Ordenamiento Jurídico.
A todo esto se conoce como “outsourcing”, que podríamos traducir literalmente como “externalización” en su acepción castellana. En el outsourcing más amplio, una empresa se involucra con otra para conseguir un fin común, en una especie de “joint venture” pero sin la creación de una nueva empresa. En el outsourcing más técnico o menos amplio, no existe esa unión, consonancia e intereses unidos como sí que los hay en el primer caso.
Un ejemplo del primer caso sería el siguiente: el departamento informático de una determinada empresa quiere realizar un programa sobre las distintas carrocerías de un determinado modelo de coche. Se involucra entonces con una empresa automovilística para que unos aporten la faceta técnica-informática y otro toda la parte técnica del mundo del motor. El resultado es que se cuentan con profesionales muy cualificados de ambos ámbitos, y las ganancias producidas atañen a los dos, ya que a mayor eficiencia, mayor calidad y mayores ventas. En este caso, durante unos meses o años e incluso por un periodo indeterminado de tiempo, varios profesionales ajenos en principio a la empresa “A” accederán a muchos datos de la empresa “B”.
El ejemplo del segundo caso es mucho más sencillo: hablamos, en esta ocasión, de la típica gestoría que lleva las nóminas de los empleados de un determinado negocio. Aquí, igualmente, una segunda empresa accede a una probablemente ingente cantidad de datos contenidos en ficheros de los empleados de la empresa A, ya que para que la gestoría realice correctamente su negocio necesita de dicha información. Sin embargo, aquí el interés existente en el primer caso no existe: se trata de una relación probablemente temporal aunque indefinida, pero aquí no se produce la total integración del personal de la empresa “A” en la “B” para la realización de un fin común de la manera mas apropiada posible. No obstante, la problemática en Protección de Datos también parece clara. Ambos ejemplos exigen respuestas claras, de manera que no se limite el fenómeno del outsourcing, pero que no obstante, la Protección de Datos esté a salvo, y la salida de datos de un negocio se haga con las debidas garantías.
Varias son las recomendaciones llegados este punto:
-Si usted trabaja con asesorías, debe de prestar atención al documento donde se contrataron los servicios. Dicho contrato (usualmente, de prestación de servicios), debería tener una cláusula específica de Protección de Datos donde se hiciera referencia al destino de los mismos y sus posibilidades de tratamiento. Si no existe, usted debería de exigir su inclusión, o al menos la firma de un documento aparte donde se haga referencia al uso que la empresa gestora va a hacer de los datos personales de su negocio o empresa.
-La ley afirma que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. Por tanto, todos esos extremos deberán estar clarificados.
-Una vez terminada su relación con la gestoría o empresa, dichos datos deben de ser destruidos, o devueltos al responsable de su empresa, incluyendo todos los documentos donde hubiere algún dato de carácter personal.
-Sin embargo, existe la posibilidad de que la empresa gestora realice un incumplimiento contractual en esta materia. El apartado 4 del artículo 12 habla de esa posibilidad: “en el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”. Además de un incumplimiento contractual por la que se pueden pedir las lógicas indemnizaciones, el responsable (el que ha manejado los datos en la gestoría) estará sometido al régimen sancionador de la LOPD. Igualmente, será también responsable el Responsable de Seguridad y Encargado del Tratamiento de la empresa que ha solicitado los servicios de la gestoría, como responsables y autores del acceso de esos datos a una empresa tercera.
-Igualmente, cesiones de datos temporales o aleatorias, de manera breve, pueden encuadrarse dentro del supuesto del artículo 11 “comunicación de los datos”. Como regla general, se pide el consentimiento del afectado para que se produzca esta comunicación. En dicho artículo, se afirma que dicho consentimiento no se hará efectivo cuando:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
De todas estas posibilidades, la que mas nos interesa es la “c”. La comunicación de los datos ha de estar en consonancia con la finalidad de los mismos. Además, es necesaria una relación jurídica. En estos casos NO es necesario el consentimiento del afectado. Como regla general, “un acceso a los datos por cuenta de terceros” equivale a un acceso homogéneo, temporal e indefinido, donde se establece una relación estable entre dos empresas, y una de ellas necesita el acceso a los datos de la otra. Una “comunicación de los datos” tiene otras características, en tanto se encuadra mas en situaciones aleatorias no homogéneas y casi puntuales de acceso a un determinada información o informaciones referente a unos datos personales. Aquí no existe un contrato donde se necesiten regular estos extremos. Esta segunda opción es claramente mucho más flexible.
El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El caso particular es el anteriormente mencionado: quien accede a los datos para prestar un servicio al responsable del fichero o tratamiento en los términos del artículo 12 de la Ley. En muchas ocasiones, el organismo o empresa que pidió los datos realizará el tratamiento en sus propias instalaciones con su personal. Otras veces, por distintos motivos (averías, mantenimiento de equipos…) los datos se tratarán por un tercero, en sus instalaciones y con su personal, tras la firma del correspondiente contrato. El responsable del fichero es la persona “dueña” de los datos, el Encargado del Tratamiento es quien realiza el servicio. Tanto unos como otros deben de estar perfectamente identificados en el Documento de Seguridad.
Quien efectúa el tratamiento para el responsable se obliga a prestarlo en el nivel de calidad pertinente, observar confidencialidad y tomar las medidas adecuadas para garantizar la seguridad de la información. El Encargado del Tratamiento es un tercero que trata los datos personales siguiendo las instrucciones del responsable si bien no bajo la dependencia o autoridad del mismo desde el punto de vista laboral (esto es importante, ya que si no, no nos encontraríamos en la órbita del artículo 12). No es un empleado del responsable: le presta sus servicios al amparo de un contrato de esta índole cuyos requisitos básicos aparecen diseñados por la Ley, con carácter imperativo, en dicho artículo.
Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe dicha comunicación, hay que entender que no le será aplicable el artículo 11.5 y, por lo mismo, el tercero no estará sometido a los preceptos de la ley a salvo las específicas normas del artículo 12.
En consecuencia, si el tercero tiene que someter al tratamiento los datos a los que accede, dicho tratamiento no requerirá el consentimiento del afectado. Dicho de otra forma, se entiende que dicho consentimiento del interesado, prestado originariamente al responsable del fichero, se extiende al tercero por la vía de la relación de prestación del servicio al responsable del fichero.
Otra forma de explicar esta idea estribaría en considerar que no ha lugar a la prestación del consentimiento del afectado para el tratamiento de los datos por el tercero, en cuanto que el sujeto activo de dichos tratamiento es el propio responsable por cuya cuenta actúa el prestador de los servicios, conclusión que resulta de los términos del artículo 3 g de la ley.
Realmente, quien accede al fichero es el tercero, el prestador del servicio, quien, por los mismo, se encarga del tratamiento por cuenta del responsable.
Por último, es claro que si el Encargado de tratamiento incumple la obligaciones -por ejemplo, destinando los datos a otra finalidad distinta-, dicho Encargado será considerado responsable.