La figura del tratamiento por cuenta de tercero es distinta a la de la comunicación (aunque pueda en ocasiones Ilegar a confundirse), y está regulada por el artículo 12 de la LOPD. Se trata de un acceso a los datos que se realiza por un tercero, denominado encargado de tratamiento, cuando dicho acceso es necesario para la prestación de un servicio al responsable del fichero. Únicamente se considera encargado del tratamiento a la persona, ya sea física o jurídica, que trata datos por cuenta del responsable del fichero.
La realización del tratamiento por cuenta de tercero deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y las disposiciones por las que se rige. El encargado del tratamiento únicamente podrá tratar los datos conforme a las instrucciones del responsable del fichero y deberá comprometerse a no aplicarlos o utilizarlos con fines distintos al que figure en el contrato. Además, no los podrá comunicar, ni siquiera para su conservación, a terceras personas.
De esto último se deduce la prohibición de subcontratación por parte de los encargados de tratamiento de los servicios que le han sido encomendados por el responsable del fichero. En caso de que para un determinado tratamiento sea necesaria la concurrencia de varios encargados (por ejemplo, en los casos de servicios de alojamiento de sitios web en los que proveedores, distintos del principal, ofrecen a éste servicios de respaldo o ponen a su disposición un servidor espejo), el responsable deberá suscribir un acuerdo en los términos previstos en la Ley con cada uno de ellos. Es decir, habrá tantos encargados de tratamiento como servicios se presten al responsable.
En ocasiones es difícil distinguir la figura del responsable del tratamiento o responsable del fichero de Ia del encargado del tratamiento. La cuestión radica principalmente en el hecho de si la organización por cuya cuenta se procede al tratamiento de los datos decide sobre la finalidad y el modo en que se procederá a dicho tratamiento, con independencia de que por la misma se efectúen las operaciones que supongan la incorporación de los datos al fichero.
En concreto, y siguiendo el ejemplo del apartado anterior, en el que una empresa, responsable del fichero con los datos personales de sus empleados, encarga a otra compañía Ia gestión de sus nóminas, en caso de que la empresa facilite los datos a la gestoría precisamente con Ia finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos, será aquella quien decida sobre la finalidad y use de Ia información y tendrá, por tanto, Ia condición de responsable del fichero. A la hora de dilucidar quién es el responsable, no es tan relevante el tratamiento concreto que se hace de los datos como la persona que decide sobre la finalidad del fichero.
Centro de Servicios Empresariales de Andalucía
C/ Arquímedes, 2 Isla de la Cartuja,
41092, Sevilla
Federación Andaluza de Autónomos
CEAT-Andalucía
C/ Arquímedes, 2. Isla de la Cartuja,
41092, Sevilla
Servicio Andaluz de Empleo
Consejería de Empleo
Junta de Andalucía
Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA
http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11