Un servicio de mantenimiento informático constituirá un tratamiento de datos por cuenta de terceros, siempre que los ordenadores objeto del mantenimiento, contengan datos de carácter personal. En estos casos, la empresa que nos presta el servicio será un encargado del tratamiento, y como tal, hemos de:
Asegurarnos que cumple la LOPD. El reglamento de desarrollo de la LOPD, en su artículo 20.2 dice: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento…”. Es decir, es nuestra responsabilidad escoger encargados del tratamiento que cumplan la LOPD.
• Firmar un contrato de acceso a datos por cuenta de terceros que especifique el servicio prestado, los ficheros a los que pudieran tener acceso, donde se va a prestar el servicio, si pueden o no incorporar datos en equipos que no sean del responsable y las medidas de seguridad que debe cumplir.
• Indicar en el Documento de Seguridad esta circunstancia (encargado, servicio, implicaciones, etc.).
No disponer de contrato de acceso a datos por cuenta de terceros con un encargado es una infracción tipificada como leve, con una sanción de entre 900 y 40.000€
(Fuente SIC Consulting)