Cuestión controvertida de nuestro ordenamiento en materia de protección de datos son los límites y formas que posibilitan el tratamiento de nuestros datos en poder de una empresa u organismo por un tercero.
Hemos de partir del análisis de lo dispuesto en los apartados 1º y 2º del Art. 12 de la Ley Organica 15/1999, de 13 de diciembre, relativa a Protección de Datos de Carácter Personal. El literal de los mismo es el siguiente:
“1º. No se considera comunicación de daos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2º. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el responsable del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para conservación, a otras personas.“
De esta regulación hemos de destacar los siguientes pilares normativos:
a) el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento,
b) las obligaciones del responsable, también incumben al encargado,
c) necesidad de prueba acreditativa de la vinculación entre responsable y encargado del tratamiento de los datos.
Esta estructura normativa está provocando un uso, hasta cierto modo abusivo, del Art. 12 de la L.O.P.D. tratando de esta forma eludir la aplicación del Art. 11 del mismo cuerpo normativo principalmente por la dificultad, en gran medida por limitaciones técnicas y económicas, relativa a la cumplimentación de la obligación legal de recabar el consentimiento de los titulares de los datos, así como el derecho de información a los mismos. En esta motivación para el uso y abuso del Art. 12 de la L.O.P.D. no hemos de olvidar el diferente régimen sancionador que la propia Ley prevee, sumamente agravado para el supuesto de cesión de daos no ajustada a derecho respecto de la posibilidad de sanción que puede recaer en el responsable de los ficheros que permita el acceso a los mismos por parte de terceros.
La Agencia de Potección de Datos ha evacuado informe (nº 0457/2008) en relación con la aplicación del Art. 12 de la L.O.P.D. que establece:
“La conclusión de la regulación citada es la de que el encargado debe limitarse a tratar los datos por cuenta del responsable y de acuerdo con sus instrucciones. De modo que la exigencia de contrato escrito en el tratamiento de datos personales por cuenta de tercero con el contenido determinado por el artículo 12 dela Ley Orgánica constituye un requisito de garantía y de que el tratamiento de datos así estipulado no supone una comunicación inconsentida de datos por parte del cedente y un tratamiento indebido por parte del tercero cesionario, atendiendo a a lo dispuesto en los artículos 6 y 11 de dicha Ley, que podría dar lugar a la aplicación del régimen sancionador contemplado por el artículo 43 de la Ley. La obligación que incumbe al responsable del tratamiento de datos de no ceder o comunicar datos a un tercero para que los trate por su cuenta se entenderá cumplida cuando, tras elegir a este encargado de tratar los datos, las relaciones entre ambos, en lo que respecta a la protección de datos personales, se instrumente en contrato escrito o cualquier otra forma que permita acreditar su celebración, en el que figurarán las medidas las medidas técnicas y organizativas que la otra parte del contrato, el encargado, estará obligado a cumplir desde el momento de su suscripción.”
Abundando en esta linea que aquí comentamos, encontramos jurisprudencia en la Sentencia de Tribunal Supremo de 17 de abril de 2007 que “exige una una forma que refleje y deje constancia no solo de su celebración, sino de su contenido … Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca unicamente en los casos y con las limitaciones legalmente establecidas , plasmados en las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento.”
Lo comentado hasta el momento sirve para poner de relieve la realidad de la aplicación legal del artículo 12 de la L.O.P.D. en relación con el desarrollo de la actividad empresarial, toda actuación que se adapte a este modelo parece diáfanamente salvaguardada en cuanto al cumplimiento de los preceptos legales.
El auge de la utilización del artículo 12 de la L.O.P.D. es debido a la necesidad de encontrar soluciones ágiles que den respuesta a las necesidades de tratar los datos de carácter personal, con las preceptivas garantías, pero de forma favorecedora al desarrollo económico.