La prestación de servicios sin acceso a datos personales
Siempre que una empresa externa, con objeto del desempeño de su servicio pueda tener acceso a datos personales (por ejemplo, servicios de limpieza o de seguridad) es preciso firmar un contrato de prestación de servicios sin acceso a datos personales.
En este contrato se recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Además, el responsable del fichero adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Es decir, que el responsable del fichero, a la hora de contratar una empresa de limpieza ha de hacer lo siguiente:
-
Ha de firmar un contrato como el descrito anteriormente.
-
Debe adoptar las medidas necesarias (armarios cerrados con llave, etc.) para que el personal de limpieza no pueda tener acceso a datos, a soportes o a los equipos informáticos.
A TENER EN CUENTA
El eslabón más débil en la cadena de la seguridad de la información son las personas.
Sanción por no atender requerimiento de la AEPD
En la resolución R/01235/2013 de la AEPD se puede ver la sanción que puede sufrir una empresa por no atender un requerimiento de la AEPD relativo a la subsanación de las deficiencias encontradas en inspección.
Con fecha de 07/03/12 la AEPD, en el procedimiento de apercibimiento A/00050/2012 resuelve REQUERIR a la entidad P. G. S.L., con relación al sistema de videovigilancia instalado el cumplimiento del art. 26 de la LOPD, procediendo a la inscripción del fichero con la finalidad Videovigilancia en la AEPD.
Con objeto de constatar el cumplimiento de lo requerido, la AEPD inició un Expediente de Actuaciones Previas de Investigación.
Con fechas 29 de mayo y 11 de septiembre de 2012 se reitera a la entidad imputada lo requerido anteriormente, sin que conste inscripción de fichero con finalidad de videovigilancia en el Registro General de la AEPD.
Con fecha 4 de febrero de 2013, el Director de la AEPD acordó iniciar procedimiento sancionador por presunta infracción del art. 37.1.f) de la LOPD tipificada como grave.
La entidad alega que no debe registrar fichero porque las cámaras no graban.
En la inspección llevada a cabo por la Policía Municipal y por la Inspección de la AEPD se comprobó que las cámaras están conectadas a un modem y a un aparado grabador en funcionamiento que dispone de una clave de acceso que manifestaron desconocer.
Resultado: Sanción de 6.500€ por infracción del artículo 37.1.f) de la LOPD, tipificada como grave en el artículo 44.3.i) de dicha norma.
IMPORTANTE
Si disponemos de un sistema de videovigilancia, hemos de cumplir con lo dispuesto por la normativa de protección de datos de carácter personal.
Contraprestación por el derecho de acceso
El informe jurídico 0074/2013 de la AEPD resuelve la consulta planteada relativa a si es conforme a la LOPD y su normativa de desarrollo el establecimiento de una contraprestación, como tasa o precio público, por la emisión de copias de la historia clínica.
De dicho informe jurídico se extrae lo siguiente:
-
El art. 18 de la Ley 41/2002 indica: “El paciente tiene el derecho de acceso, (…), a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella”.
-
El art. 15 de la LOPD expone: “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”.
-
El art. 17 de la LOPD dispone: “No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación”.
-
El art. 24.2 del RD1720/2007 dice: “Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición”
-
El art. 24.3 del RD1720/2007 indica: “El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan (…)”.
Por todo lo expuesto, la normativa aplicable consagra en todo caso la gratuidad en el ejercicio del derecho de acceso, no permitiendo ningún tipo de contraprestación derivada de su ejercicio.
A TENER EN CUENTA
Debemos ejercer los derechos de los afectados en tiempo y forma adecuados, según establece la normativa vigente.
Quiero contratar un servicio de mantenimiento informático. ¿Qué he de hacer?
Un servicio de mantenimiento informático es un tratamiento de datos por cuenta de terceros siempre que los ordenadores objeto del mantenimiento contengan datos personales.
Es decir, la empresa que nos presta el servicio es un encargado del tratamiento, y como tal, hemos de tener en cuenta los siguientes puntos:
-
Asegurarnos que cumple la LOPD. El reglamento de desarrollo de la LOPD, en su artículo 20.2 dice: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento…”.
Es decir, es nuestra responsabilidad escoger encargados del tratamiento que cumplan la LOPD. -
Firmar un contrato de acceso a datos por cuenta de terceros que especifique el servicio prestado, los ficheros a los que pudieran tener acceso, donde se va a prestar el servicio, si pueden o no incorporar datos en equipos que no sean del responsable y las medidas de seguridad que debe cumplir.
-
Indicar en el Documento de Seguridad esta circunstancia (encargado, servicio, implicaciones, etc.).
A TENER EN CUENTA
No disponer de contrato de acceso a datos por cuenta de terceros con un encargado es una infracción tipificada como leve, con una sanción de entre 900 y 40.000€