El acceso a datos de carácter personal por parte de una entidad ajena al titular del fichero, es lo que se denomina un acceso a datos por cuenta de terceros y la entidad que accede a esos datos para prestar un servicio (en este caso, el asesor) es lo que se denomina un encargado del tratamiento.
ACCESO A DATOS DE CARÁCTER PERSONAL PARA LA PRESTACIÓN DE SERVICIOS
Con objeto de garantizar que el encargado del tratamiento solo utiliza los datos con la finalidad de realizar la prestación de su servicio, la LOPD obliga a conformar un contrato entre ambos en el que se establece expresamente:
- Que el encargado del tratamiento:
- Sólo tratará los datos conforme a las instrucciones del responsable del fichero.
- No los aplicará o utilizará con fin distinto al que figure en dicho contrato.
- No los comunicará, ni siquiera para su conservación a otras personas.
- Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
OBLIGACIÓN DE FIRMAR EL CONTRATO PREVISTO EN EL ARTÍCULO 12 DE LA LOPD
Este contrato hay que formalizarle con todas y cada una de las entidades que tengan o puedan tener acceso a datos.
No disponer del contrato de encargado del tratamiento es una infracción leve, con sanción de entre 900 y 40.000€.
