Debemos recordar que la figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de manera que en aquellos supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, dicho acceso no pueda considerarse como una cesión de datos.
EXTERNALIZACIÓN DE SERVICIOS DE DESTRUCCIÓN DOCUMENTAL Y LOPD
Es preciso, entonces, que el acceso a los datos por el tercero (en el presente caso por la empresa prestadora del servicio de destrucción de documentos) se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida en un contrato de acceso a datos por cuenta de terceros con el contenido definido en el art. 12 de la LOPD:
- Descripción del servicio a realizar.
- Que no utilizará los datos para ninguna otra finalidad distinta a la que existe en el contrato.
- Que no los comunicará, ni siquiera para su conservación a otras personas.
- Indicar las medidas de seguridad que el encargado está obligado a cumplir.
ACCESO A DATOS COMO ENCARGADO DEL TRATAMIENTO: FIRMA DEL CONTRATO ART 12 LOPD
Para más detalle, el informe 0227/2010 de la AEPD resuelve la manera de formalizar la relación entre una empresa que quiere destruir documentación que contiene datos personales y la empresa que se ha de encargar materialmente de dicha destrucción.
No formalizar el contrato con un encargado del tratamiento puede acarrear una sanción de entre 900 y 40.000€.
