Inicio » Noticias Jurídicas » ¿Qué es el outsourcing? Su relación con la protección de datos.

¿Qué es el outsourcing? Su relación con la protección de datos.

El outsourcing viene definido como la realización por parte de una sociedad externa de trabajos relativos, por ejemplo, a la administración general, materia laboral, implementación de sistemas contables, estructuración de departamentos financieros, outsourcing contable, cumplimentación de obligaciones tributarias, externalización de procesos, etc que habitualmente venían siendo realizados por la propia organización que los contrata y permitiendo así a la empresa cliente centrarse en su core business o incluso permitiendo reducir el coste del personal que le supondría en el caso de ser ella misma quien asumiera dichas trabajos.

En materia de protección de datos aquellas personas físicas o jurídicas que prestan servicios de asesoramiento contable, fiscal, legal o laboral y que traten datos de carácter personal de personas físicas, podrán encuadrarse bajo la denominación de responsable del fichero o encargado del tratamiento.

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre de 1999 (en adelante la LOPD) junto con su Reglamento de Desarrollo aprobado por el Real Decreto 1720/2007 de 21 de diciembre, hace una clara diferenciación de ambas figuras, imponiendo a su vez, diversas obligaciones en materia de protección de datos según se trata de un responsable del fichero o de un encargado del tratamiento.

El responsable del fichero es toda aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que, sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Por su parte, el Encargado del Tratamiento es aquella persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Esta posición de Encargado del Tratamiento debe obligatoriamente materializarse mediante un contrato escrito denominado “Contrato de Acceso a Datos por Cuenta de Terceros” y debiendo estar suscrito previo a la prestación del servicio entre el Responsable del Fichero y el Encargado del Tratamiento.

A fin de llevar las anteriores definiciones a un plano más práctico, a continuación se exponen dos situaciones muy habituales para aquellos profesionales que prestan servicios en materia contable, fiscal o de cualquier otra índole.

1. Tratamiento de datos obtenidos directamente del afectado en materia de protección de datos.

Una persona física acude a una empresa consultora de servicios fiscales para que le asesore y le asista  en la confección de la Declaración de Renta de Personas Físicas correspondiente al año 2007.

En este caso, la empresa consultora solicita directamente a su cliente persona física, y afectado en materia de protección de datos, todos aquellos datos necesarios para efectiva confección de la declaración de la renta requerida esto es, datos identificativos de dicha persona, filiación, sus datos económicos, laborales, etc.

Este conjunto de datos que el cliente proporcionará a la empresa consultora constituye un TRATAMIENTO DE DATOS en materia de protección de datos de carácter personal y convertirá a la empresa prestadora del servicio en un responsable del fichero que deberá cumplir con las siguientes obligaciones impuestas por la LOPD y su Reglamento de desarrollo:

• Inscribir los ficheros en el Registro de la Agencia Española de Protección Datos (RGPD)

• Generar el Documento de Seguridad

• Implantar Medidas de Seguridad técnicas, jurídicas y organizativas

• Estudiar La Cesión y el Acceso a datos por cuenta de terceros

• Garantizar entre otros, el Derecho de Información en la recogida de los datos personales, así como los derechos de Acceso, Rectificación, Cancelación y Oposición.

2. Tratamiento de datos no obtenidos directamente del afectado en materia de protección de datos.

Una Sociedad acude a una empresa consultora de servicios contables y de asesoramiento fiscal para que a partir de ese momento sea la encargada de confeccionar las nóminas de sus empleados, así como cumplimentar aquellas obligaciones que en materia laboral se refiera.

En este caso es la empresa cliente quien facilitará los datos personales de sus empleados para que la sociedad consultora confeccione las nóminas de éstos.

Este conjunto de tratamientos que la empresa consultora aplica a los datos personales que le proporciona la empresa cliente constituye un ACCESO A DATOS POR CUENTA DE TERCEROS y por tanto, será dicha empresa cliente la que se posicionará como responsable del fichero de nóminas de sus empleados y la empresa consultora el encargado del tratamiento de dicho fichero.

En este sentido, la empresa consultora deberá cumplir las siguientes obligaciones impuestas por la LOPD y su Reglamento de Desarrollo como Encargado del Tratamiento del fichero titularidad de la empresa cliente:

• Adoptar el mismo nivel de medidas de seguridad que aplique el Responsable del Fichero

• No puede aplicar los datos a un fin distinto al que figure en el contrato de servicios con el responsable

• No puede ceder los datos a otras personas, ni siquiera para su conservación

• Una vez cumplida la prestación contractual, deberá destruir los datos (salvo que medie autorización expresa del responsable porque razonablemente se presuma la posibilidad de ulteriores encargos, por un plazo máximo de cinco años).

• Necesidad de Plasmar la Relación de Prestación de Servicios mediante Contrato de Encargado de Tratamiento

Una de las novedades que introduce el Real Decreto 1720/2007 es que cuando el responsable del fichero contrate la prestación de un servicio que conlleve el tratamiento de datos personales por parte de un tercero, el responsable del fichero deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la Ley y en el Reglamento.

En definitiva, en función de cuál sea el modo de obtener la información relativa a datos personales de los afectados así como su tratamiento, el prestador de servicios profesionales tendrá la consideración de responsable del fichero o encargado del tratamiento, lo cual conllevará en uno u otro caso diferentes obligaciones en materia de protección de datos a tener en cuenta y por supuesto llevar a cabo.

Por Lorena Salamanca Cuevas
Auxadi Contables & Consultores, S.A.
Parque empresarial Las Mercedes –
Edificio 5 – planta 3
Avenida de Aragón, 330
28022Madrid
www.auxadi.com

 

Contenidos relacionados

Ver Todos >>

Es discriminatorio el trato en el Régimen General de la Seguridad Social de los religiosos católicos frente a los protestantes

Es discriminatorio el trato en el Régimen General de la Seguridad Social de los religiosos católicos frente a los protestantes

La Sala Tercera, de lo Contencioso-Administrativo,del Tribunal Supremo ha declarado nulo parte del Real Decreto 839/2015, de 21 de septiembre, que regula las condiciones de inclusión en el Régimen General de la Seguridad Social de los ministros de culto de las iglesias pertenecientes a la Federación de Entidades Religiosas Evangélicas de España, por constituir un trato discriminatorio que vulnera el ... Leer Más »

Contratación del servicio integral de telecomunicaciones de la Agencia Tributaria

Contratación del servicio integral de telecomunicaciones de la Agencia Tributaria

El Consejo de Ministros ha autorizado el inicio de un nuevo expediente de contratación del servicio de gestión integral de telecomunicaciones de la Agencia Estatal de Administración Tributaria (AEAT), con entrada en vigor a partir del 1 de octubre de 2018, una vez concluya el actual, vigente desde el año 2012 y prorrogado hasta septiembre de 2018. El nuevo expediente ... Leer Más »

Se modifica el modelo 190

Se modifica el modelo 190

  Desde el año 2014, como consecuencia de las modificaciones introducidas por el Real Decreto 828/2013, de 25 de octubre, en el apartado 3 del artículo 33 del Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos, aprobado por Real Decreto ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon