Siempre que una empresa externa, con objeto del desempeño de su servicio pueda tener acceso a datos personales (por ejemplo, servicios de limpieza o de seguridad) es preciso firmar un contrato de prestación de servicios sin acceso a datos personales.
En este contrato se recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Además, el responsable del fichero adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Es decir, que el responsable del fichero, a la hora de contratar una empresa de limpieza ha de hacer lo siguiente:
o Ha de firmar un contrato como el descrito anteriormente.
o Debe adoptar las medidas necesarias (armarios cerrados con llave, etc.) para que el personal de limpieza no pueda tener acceso a datos, a soportes o a los equipos informáticos.
El eslabón más débil en la cadena de la seguridad de la información son las personas.