La posibilidad de subcontratación de servicios que implican un acceso a datos por parte de terceros esta regulada en el artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su Titulo III referente al encargado de tratamiento.
La subcontratación para la prestación de servicios es algo que según la actividad puede llegar a ser algo bastante normal, por lo que vamos a resumir de una forma sencilla lo que supone y sus características fundamentales.
El primer punto a tratar son los sujetos que intervienen. Como sabemos la LOPD a la hora de las prestaciones de servicios que impliquen un acceso a datos identifica dos partes, el responsable del fichero y el encargado del tratamiento. Pues bien, a la hora de la subcontratación, ¿esa tercera empresa que aparece en la ecuación que figura asume? La LOPD deja claro que la empresa subcontratada asumirá la figura de encargado del tratamiento, con todas las obligaciones y deberes de esta figura, y es que la empresa que subcontrata no lo hace como encargado del tratamiento del responsable sino que lo hace en nombre y por cuenta de este. Por lo tanto en esta situación podríamos hablar de la existencia de un responsable del fichero y dos encargados de tratamiento sobre la misma situación o servicio prestado.
La siguiente pregunta que puede surgir es cuando se puede subcontratar, o si con la voluntad del encargado del tratamiento es suficiente para hacerlo. Para la subcontratación del servicio entre el responsable y el encargado es condición obligatoria contar con el consentimiento expreso del responsable del fichero, ya sea en el momento de la contratación del servicio o a posteriori pero siempre antes de proceder a la subcontratación.
Una vez se tiene la autorización del responsable, el último paso es regularizar la situación entre el encargado del tratamiento y la empresa subcontratada. Aquí la legislación nos remite a lo ya establecido para los contratos entre responsables de fichero y encargados de tratamiento para regular los accesos a datos para la prestación de un servicio, es decir, al contrato del artículo 12 de la LOPD.
En definitiva, la LOPD regula la subcontratación de forma muy parecida a como lo hace cuando simplemente se trata de una relación entre el responsable del fichero y el encargado del tratamiento, no reconociendo al subcontratista como una figura nueva y asignándole la misma personalidad y obligaciones que un encargado del tratamiento.
Áudea Seguridad de la Información
Álvaro Aritio
Departamento Derecho TIC