Servicios de protección de datos en Leganés

¿Tiene una empresa en Leganés y necesita cumplir con las normativas de Protección de Datos?

En Arcodatos le ayudamos a cumplir con las normativas de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD)

¿Cómo debo ceder datos a los prestadores de servicios?

La inmensa mayoría de las empresas requiere servicios de otras para llevar a cabo actividades básicas de gestión, para ello suele ser necesario que comuniquen datos de sus ficheros, de sus clientes, proveedores, trabajadores. Esta circunstancia de cara al Reglamento General de Protección de Datos supone una responsabilidad que muchas desconocen, y en algunas ocasiones pueden ceder datos sin darse cuenta siquiera de ello, veamos un ejemplo:

Las empresas habitualmente contratan a un asesor fiscal externo para que gestione sus obligaciones tributarias o su contabilidad, para llevar a cabo este servicio deberá pedirle que le entregue las facturas tanto de sus clientes como de sus proveedores.

Desde este mismo momento el asesor fiscal está tratando información de personas con las que no les une ninguna relación contractual; supongamos entonces que el asesor también es agente de seguros y decide enviar propuestas comerciales sobre pólizas de hogar a los clientes de la empresa. ¿Puede hacerlo?, obviamente la respuesta es no, pero si lo hace, ¿de quién es la responsabilidad? Pues tanto de la empresa que cede la información si no ha dado las instrucciones oportunas al asesor, y de éste mismo por realizar una cesión indebida sin consentimiento del interesado. Este supuesto se puede extrapolar a multitud de casos en las relaciones mercantiles, todos ellos muy variados en función de la prestación del servicio de que se trate.

El Reglamento General de Protección de Datos regula estas cesiones, de manera que entre la empresa y el asesor debe mediar un contrato denominado jurídicamente “de acceso a datos por cuenta de terceros.” En el mismo se distinguen dos figuras, la del Responsable del Fichero, y la del Encargado de Tratamiento, y siguiendo con este ejemplo la empresa sería la primera de ellas y el asesor la segunda.

¿Qué particularidades debe tener dicho contrato? Como mínimo las siguientes:

Tratamiento de los datos. El encargado del tratamiento sólo podrá tratar los datos conforme a las instrucciones que le indique el Responsable del Fichero, deberá identificar a qué datos tendrá acceso, cómo accederá a los mismos, por ejemplo, por control remoto, en qué instalaciones lo prestará, si en las del Responsable o en las del Encargado, si implicará o no la incorporación de esa información a sus sistemas e incluso si para concluirlo será necesario subcontratar a algún tercero.

Siguiendo el ejemplo anterior, se debería indicar que el asesor sólo podrá utilizar los datos de los ficheros de la empresa para realizar la gestión fiscal y contable, que accederá a sus ficheros de “clientes” y “proveedores”, que prestará el servicio en sus instalaciones y que subcontratará el mantenimiento de aplicaciones informáticas para ejecutarlo adecuadamente.

Finalidad del tratamiento. Se debe indicar para qué finalidad se van a tratar los datos prohibiendo su uso para otros fines.

Cesión de datos. No se podrán ceder datos por el encargado del tratamiento a otras personas, ni siquiera para su conservación.

Medidas de seguridad. Se deben describir las medidas de seguridad que el encargado del tratamiento debe cumplir obligatoriamente.

Finalización del servicio. Cuando el servicio y la relación contractual entre ambos terminen, los datos de carácter personal, así como los soportes y documentos que los contengan deberán ser destruidos o devueltos al responsable del fichero.

Implicaciones del incumplimiento del contrato. En el caso de que el Encargado de Tratamiento haga un uso de los datos incumpliendo las cláusulas del contrato será considerado igualmente Responsable del Fichero y responderá de las infracciones en las que hubiera incurrido.

El ejemplo que hemos seguido es sólo un caso, pero ¿qué otros pueden sucederse?, sin entrar en demasiados detalles, veamos algunos servicios muy comunes que las empresas pueden contratar y que implican cesiones de datos de sus ficheros y la correspondiente formalización de un contrato de acceso por cuenta de terceros:

Contratación de un Asesor Laboral. Aquí cederemos datos de nuestros trabajadores para que gestionen la confección de nóminas y contratos.

Contratación de una empresa de Prevención de Riesgos Laborales. Se cederán datos de los trabajadores para la prestación de este servicio.

Contratación de una empresa para el mantenimiento de equipos informáticos. Será posible que gran parte de los ficheros que se encuentren automatizados o digitalizados serán objeto de tratamiento, el técnico tendrá acceso al disco duro donde se encuentran todos ellos.

Contratación de una empresa para el mantenimiento de aplicaciones informáticas. Cuando tenemos un problema en una aplicación informática, llamamos al técnico, y éste será posible que acceda al equipo donde está instalada bien de manera física o de forma remota.

Contratación del servicio de hosting. Por nuestro correo electrónico fluye una gran cantidad de información, tanto de envío, como de recepción con datos acerca de nuestros clientes, proveedores, contactos, y todos ellos se quedan hospedados en el servidor del prestador de este servicio siendo a todos los efectos un Encargado de Tratamiento.

Contratación del servicio de cloud computing. Este servicio es cada vez más demandado, por aplicaciones informáticas con las que trabajamos en la nube que nos permiten trabajar utilizando nuestros ficheros desde cualquier punto. También se pueden obtener copias de seguridad de esta manera, resultando muy cómodo alojar la información que deseemos en servidores remotos.

Contratación del servicio de videovigilancia. La instalación de cámaras en las instalaciones de nuestra empresa puede suponer la grabación de imágenes o vídeos de personas, y estas imágenes quedarán almacenadas por una empresa de seguridad en caso de que se contrate el servicio de conexión a la central receptora de alarmas.

Contratación de un servicio de marketing y publicidad. Por ejemplo, podemos contratar a una empresa para se ocupe del envío de información de un nuevo producto a nuestros clientes, para lo cual deberemos facilitarle sus direcciones y correos electrónicos.

Puede haber otros muchos casos que dependerán del tipo de actividad de la empresa o de su tamaño, por ejemplo, la subcontratación de servicios médicos en una residencia de mayores, el control de acceso a las instalaciones mediante registro, el control de presencia de los trabajadores, …

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.