El contrato de acceso a datos por cuenta de terceros

Siempre que una empresa externa acceda o pueda acceder a datos personales de nuestra entidad (ej: asesor fiscal, mantenimiento informático, etc.) hay que firmar un contrato para regular ese acceso.

Este contrato se denomina contrato de acceso a datos por cuenta de terceros, y a la empresa externa que presta el servicio se le denomina encargado del tratamiento.

CONTENIDO DEL CONTRATO DE ENCARGADO DEL TRATAMIENTO

Para que sea válido, el contrato ha de contener la siguiente información:

o    El servicio que se va a prestar.

o    Los ficheros o datos personales a los que puede tener acceso el encargado.

o    Dónde y cómo se va a prestar el servicio.

o    Si el servicio implica, o no, almacenar datos en los sistemas del encargado.

o    Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

o    Además, se indicará en el contrato expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

El contrato debe constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

ACREDITACIÓN DE CELEBRACIÓN DEL CONTRATO DE ACCESO A DATOS

No disponer de este contrato con un encargado del tratamiento puede acarrear una sanción de entre 900 y 40.000€.