Premium¿Qué es el outsourcing? Su relación con la protección de datos.
¿Qué es el outsourcing? Su relación con la protección de datos.
El outsourcing viene definido como la realización por parte de una sociedad externa de trabajos relativos, por ejemplo, a la administración general, materia laboral, implementación de sistemas contables, estructuración de departamentos financieros, outsourcing contable, cumplimentación de obligaciones tributarias, externalización de procesos, etc que habitualmente venían siendo realizados por la propia organización que los contrata y permitiendo así a la empresa cliente centrarse en su core business o incluso permitiendo reducir el coste del personal que le supondría en el caso de ser ella misma quien asumiera dichas trabajos.
En materia de protección de datos aquellas personas físicas o jurídicas que prestan servicios de asesoramiento contable, fiscal, legal o laboral y que traten datos de carácter personal de personas físicas, podrán encuadrarse bajo la denominación de responsable del fichero o encargado del tratamiento.
La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre de 1999 (en adelante la LOPD) junto con su Reglamento de Desarrollo aprobado por el Real Decreto 1720/2007 de 21 de diciembre, hace una clara diferenciación de ambas figuras, imponiendo a su vez, diversas obligaciones en materia de protección de datos según se trata de un responsable del fichero o de un encargado del tratamiento.
El responsable del fichero es toda aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que, sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Por su parte, el Encargado del Tratamiento es aquella persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Esta posición de Encargado del Tratamiento debe obligatoriamente materializarse mediante un contrato escrito denominado “Contrato de Acceso a Datos por Cuenta de Terceros” y debiendo estar suscrito previo a la prestación del servicio entre el Responsable del Fichero y el Encargado del Tratamiento.
A fin de llevar las anteriores definiciones a un plano más práctico, a continuación se exponen dos situaciones muy habituales para aquellos profesionales que prestan servicios en materia contable, fiscal o de cualquier otra índole.
1. Tratamiento de datos obtenidos directamente del afectado en materia de protección de datos.
Una persona física acude a una empresa consultora de servicios fiscales para que le asesore y le asista en la confección de la Declaración de Renta de Personas Físicas correspondiente al año 2007.
En este caso, la empresa consultora solicita directamente a su cliente persona física, y afectado en materia de protección de datos, todos aquellos datos necesarios para efectiva confección de la declaración de la renta requerida esto es, datos identificativos de dicha persona, filiación, sus datos económicos, laborales, etc.
Este conjunto de datos que el cliente proporcionará a la empresa consultora constituye un TRATAMIENTO DE DATOS en materia de protección de datos de carácter personal y convertirá a la empresa prestadora del servicio en un responsable del fichero que deberá cumplir con las siguientes obligaciones impuestas por la LOPD y su Reglamento de desarrollo:
• Inscribir los ficheros en el Registro de la Agencia Española de Protección Datos (RGPD)
• Generar el Documento de Seguridad
• Implantar Medidas de Seguridad técnicas, jurídicas y organizativas
• Estudiar La Cesión y el Acceso a datos por cuenta de terceros
• Garantizar entre otros, el Derecho de Información en la recogida de los datos personales, así como los derechos de Acceso, Rectificación, Cancelación y Oposición.
2. Tratamiento de datos no obtenidos directamente del afectado en materia de protección de datos.
Una Sociedad acude a una empresa consultora de servicios contables y de asesoramiento fiscal para que a partir de ese momento sea la encargada de confeccionar las nóminas de sus empleados, así como cumplimentar aquellas obligaciones que en materia laboral se refiera.
En este caso es la empresa cliente quien facilitará los datos personales de sus empleados para que la sociedad consultora confeccione las nóminas de éstos.
Este conjunto de tratamientos que la empresa consultora aplica a los datos personales que le proporciona la empresa cliente constituye un ACCESO A DATOS POR CUENTA DE TERCEROS y por tanto, será dicha empresa cliente la que se posicionará como responsable del fichero de nóminas de sus empleados y la empresa consultora el encargado del tratamiento de dicho fichero.
En este sentido, la empresa consultora deberá cumplir las siguientes obligaciones impuestas por la LOPD y su Reglamento de Desarrollo como Encargado del Tratamiento del fichero titularidad de la empresa cliente:
• Adoptar el mismo nivel de medidas de seguridad que aplique el Responsable del Fichero
• No puede aplicar los datos a un fin distinto al que figure en el contrato de servicios con el responsable
• No puede ceder los datos a otras personas, ni siquiera para su conservación
• Una vez cumplida la prestación contractual, deberá destruir los datos (salvo que medie autorización expresa del responsable porque razonablemente se presuma la posibilidad de ulteriores encargos, por un plazo máximo de cinco años).
• Necesidad de Plasmar la Relación de Prestación de Servicios mediante Contrato de Encargado de Tratamiento
Una de las novedades que introduce el Real Decreto 1720/2007 es que cuando el responsable del fichero contrate la prestación de un servicio que conlleve el tratamiento de datos personales por parte de un tercero, el responsable del fichero deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la Ley y en el Reglamento.
En definitiva, en función de cuál sea el modo de obtener la información relativa a datos personales de los afectados así como su tratamiento, el prestador de servicios profesionales tendrá la consideración de responsable del fichero o encargado del tratamiento, lo cual conllevará en uno u otro caso diferentes obligaciones en materia de protección de datos a tener en cuenta y por supuesto llevar a cabo.
Por Lorena Salamanca Cuevas
Auxadi Contables & Consultores, S.A.
Parque empresarial Las Mercedes –
Edificio 5 – planta 3
Avenida de Aragón, 330
28022Madrid
www.auxadi.com
