540 - ¿Cuándo estamos ante un acceso a datos por parte de terceros?

El acceso a datos por parte de terceros se da cuando se realiza una prestación de un servicio por un tercero y para ello debe acceder a los datos personales almacenados en el fichero. La persona que accede a los datos para la prestación del servicio se denomina encargado de tratamiento. Para estos casos, lo que debe tenerse en cuenta es:

• No se trata de una cesión de datos. El propio artículo 33, apartado 1, de la LOPDGDD indica que: 

«El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo».

• Debe celebrarse el pertinente contrato entre el responsable y el tercero a fin de que se garantice la protección de datos: es el caso de que un despacho de abogados o procuradores contrata a una empresa externa para que le gestione y asesore en temas fiscales o incluso laborales en el caso de que tenga personal asalariado a su cuenta. La empresa en cuestión accederá a datos de carácter personal pero ha de colaborar en su protección y actuar con máximo respeto. 
• Se tratará de un contrato de acceso a datos que debe especificar: el objeto, el necesario acceso a los datos para poder cumplir este contrato y las obligaciones del encargado del tratamiento, que en ese caso será la empresa tercera.
• El artículo 28, apartado 3, del RGPD establece:

«El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable (...)».

CUESTIÓN

El incumplimiento del contrato de acceso a datos, ¿qué consecuencias puede tener?

El artículo 73, letra k), de la LOPDGDD califica este incumplimiento como infracción grave, pudiendo imponerse multas administrativas de hasta 10.000.000 euros como máximo o, tratándose de una empresa, cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.4 del RGPD).

Estas infracciones prescriben a los dos años, interrumpiéndose el plazo por inicio del procedimiento sancionador, con conocimiento del interesado, y reiniciándose si el expediente sancionador se paraliza durante más de 6 meses por causas no imputables al infractor (art. 75 de la LOPDGDD).

Respecto al plazo de prescripción de las sanciones se atenderá a la cuantía, recogiendo el artículo 78 de la LOPDGDD que las de importe inferior a 40.000 euros prescriben al año, las de importe entre 40.001 euros a 300.000 euros prescriben a los daños y las de cuantía superior a 300.000 euros prescriben a los tres años. El dies a quo para computar estos plazos se marca desde el día siguiente al que sea ejecutable la resolución sancionadora, pudiendo interrumpirse por el mismo motivo y durante el mismo tiempo que para el caso de las infracciones.