Siempre que una empresa externa acceda o pueda acceder a datos personales de nuestra entidad (ej: asesor fiscal, mantenimiento informático, etc.) hay que firmar un contrato para regular ese acceso.
Este contrato se denomina contrato de acceso a datos por cuenta de terceros, y a la empresa externa que presta el servicio se le denomina encargado del tratamiento.
Para que sea válido, el contrato ha de contener la siguiente información:
o El servicio que se va a prestar.
o Los ficheros o datos personales a los que puede tener acceso el encargado.
o Dónde y cómo se va a prestar el servicio.
o Si el servicio implica, o no, almacenar datos en los sistemas del encargado.
o Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
o Además, se indicará en el contrato expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
El contrato debe constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
No disponer de este contrato con un encargado del tratamiento puede acarrear una sanción de entre 900 y 40.000€.