Com a continuació del BUTLLETÍ INFORMATIU anterior, en aquest número tractarem sobre un altre dels principis generals de la protecció de dades: l’accés a dades per compte de tercers.
L’article 12.1 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i l’article 20.1 del reglament que la desplega (Reial decret 1720/2007, de 21 de desembre) distingeixen la “cessió o comunicació de dades” de la figura de l’“accés a dades per compte de tercers” o “encarregat del tractament”. Així doncs, disposa que no es considera comunicació de dades l’accés d’un tercer a les dades de caràcter personal sempre que es compleixin aquests requisits:
- Quan l’accés sigui necessari per a la prestació d’un servei al responsable.
- Quan es compleixin els aspectes formals i de contingut prevists expressament en l’article 12 de la LOPD.
- Quan no s’estableixi un nou vincle entre el tercer que tracta les dades i els titulars de les dades que són objecte de tractament pel tercer.
El tractament de les dades que s’ajusti a aquestes consideracions no requereix que el responsable compleixi les obligacions següents:
- Consentiment per transmetre les dades al tercer o permetre-li-hi l’accés.
- Informació a la persona interessada sobre quina és la finalitat de la transmissió o de l’accés i sobre el tipus d’activitat que el tercer acompleix.
L’article 12.2 de la LOPD estableix els aspectes formals i de contingut que cal tenir en compte per formalitzar la relació entre el responsable i l’encarregat del tractament:
- Formals: cal que hi hagi un contracte escrit o alguna altra forma que permeti acreditar-ne el contingut.
- De contingut, pels quals el contracte ha de recollir expressament els aspectes següents:
- L’obligació de l’encarregat del tractament de tractar les dades de caràcter personal únicament d’acord amb les instruccions dictades pel responsable.
- La prohibició d’aplicar-les o utilitzar-les amb una finalitat diferent de la que figuri en el contracte.
- La prohibició de comunicar-les a tercers, ni tan sols per conservar-les.
- Les mesures de seguretat que s’han d’implementar sobre els actius i els recursos que participin o intervenguin en el tractament (equips informàtics, persones, xarxes de comunicacions, instal•lacions i locals, etc.).
- L’obligació de l’encarregat del tractament de tornar o destruir les dades de caràcter personal objecte del tractament i els suports i els documents que els continguin, una vegada complerta la prestació contractual.
En el cas que l’encarregat del tractament destini les dades a una altra finalitat, les comuniqui o les utilitzi incomplint les estipulacions del contracte, serà considerat també com a responsable del tractament, per la qual cosa haurà de respondre de les infraccions en què hagués incorregut personalment.
Finalment, l’article 20.2 del reglament de la LOPD disposa que el responsable ha de vetlar perquè l’encarregat del tractament tengui prou garanties per complir les exigències i les mesures de seguretat establertes.
Per ampliar aquesta informació, consultau el Codi de bones pràctiques en l’ús dels sistemes d’informació i el tractament de dades de caràcter personal, que és a la vostra disposició a l’Àrea de Seguretat de la Informació del Portal del Servei de Salut, accessible des de: Codi de bones pràctiques en tecnologies de la informació i de la comunicació (TIC)
Tot l’equip de l’Oficina de Seguretat us desitja ¡ BON ANY!