Conoce Atico34 - Solicita presupuesto
Glosario

Cesión de datos a terceros

Uno de los temas que más consultas y sanciones ha generado desde la entrada en vigor de la normativa de Protección de datos es la cesión de datos a terceros. El RGPD amplió el alcance de la responsabilidad en lo que respecta a la protección de datos y la privacidad. Entonces, ¿qué ocurre en caso de incidentes de seguridad causados ​​por los proveedores de servicios o derivados del tratamiento de datos por parte de terceros?

¿Qué es una cesión de datos?

Se entiende por cesión de datos cualquier mecanismo que proporcione acceso a los datos de un fichero a un tercero interesado.

Para poder realizar una cesión de datos personales hay que cumplir dos requisitos. El primero es que la cesión de datos sea para el cumplimiento de fines relacionados con las funciones de cedente y cesionario. Segundo, el previo consentimiento informado del interesado.

Para realizar una adecuada cesión de datos RGPD deben cumplirse tres condiciones:

  • Traslados en función de una adecuación. Es decir, que el país donde vas a transferir los datos los proteja adecuadamente.
  • Transferencias sujetas a salvaguardas apropiadas. En otras palabras, se establezcan adecuadas medidas de protección de esos datos.
  • Reglas corporativas vinculantes. Existan unas normas a las que se haya adherido la empresa cedente y la cesionaria.

Hay exenciones a estas tres condiciones.

Si tu transferencia cumple con alguno de estos criterios, necesitarás tener todo lo necesario claramente documentado y justificado:

  • El individuo dio su consentimiento, después de ser informado del riesgo. Recuerda que cuanto mayor es el riesgo, más claro debe ser el consentimiento. Si estás planeando compartir información biométrica con una compañía extranjera, es mejor que estés seguro sobre el nivel de consentimiento que el afectado te otorgó para ello.
  • La transferencia es necesaria para cumplir el contrato entre el individuo y la empresa. Nuevamente, se trata de privacidad por diseño y por defecto. Solo puedes enviar aquellos elementos de información que son necesarios, lo que se denomina “calidad y proporcionalidad de datos”.
  • Es necesario para el contrato en beneficio del interesado.
  • Si es por interés público. Básicamente, todo lo que es obligatorio por una ley de Estado miembro de la UE, o hecho dentro de la autoridad administrativa de un gobierno de la UE.
  • Es necesario establecer, ejercer o defender reclamaciones legales. Si te han interpuesto una demanda y necesitas presentar evidencias, y para ello debes facilitar información personal de terceros, puedes hacerlo.
  • Es necesario proteger el interés vital de alguien. Es decir, en situaciones de vida o muerte, no necesitas el consentimiento.

Puedes consultar más información en nuestro artículo sobre transferencias internacionales de datos.

cesion datos terceros

La cesión de datos de carácter personal a un terceros según la Ley RGPD

El acceso a datos por cuenta de un tercero conlleva la prestación de un servicio por parte de una tercera empresa al responsable del fichero, que accede a los datos del fichero para el cumplimiento de la prestación contratada.

Cualquier organización que procese los datos personales de los residentes de la UE está sujeta al Reglamento y debe cumplir con sus requisitos.

Cuando externalizas ciertas actividades de procesamiento de datos a otra organización, tú eres el responsable del tratamiento de datos y el tercero es el encargado del tratamiento de datos.

Un responsable de tratamiento decide qué información se procesa y la base legal para hacerlo, mientras que un encargado del tratamiento completa el procesamiento en nombre del responsable.

Según el RGPD, los responsables del tratamiento son responsables de su propio cumplimiento y del de los encargados.

Como tal, es esencial que investigues las prácticas de seguridad de cualquier posible tercero y que este acepte por escrito las medidas que adoptará para proteger tus sistemas.

La normativa de Protección de datos indica que “no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero“.

Dentro de esa información a terceros considerados encargados del tratamiento están los datos que se ceden a la asesoría laboral o fiscal que presta servicios a la empresa,  la empresa donde se aloja la página web, la empresa que te presta servicios informáticos o de marketing.

Requisitos y obligaciones

A la hora de permitir el acceso a mis datos a cualquier tercero es necesario cumplir unos requisitos. Entre las más importantes es la elaboración de un contrato de cesión de datos a terceros o contrato de encargado del tratamiento, en el que se especifique las exigencias en cuanto al tratamiento de los datos del interesado.

Asimismo, la ley estipula que se debe actuar que se debe actuar dentro del marco del due diligence, para lo que será necesario realizar un análisis de riesgos y establecer las medidas necesarias para la adecuada protección de la información, sobre todo cuando se trata de datos especialmente protegidos por el RGPD.

tarifas proteccion datos

Cesión de datos a terceros. ¿Cómo realizarla?

En este punto vamos a profundizar más en los aspectos antes mencionados, esto es, sobre el contrato de encargado del tratamiento y sobre la debida diligencia en el tratamiento de datos personales.

Realizar un contrato para la cesión de los datos

Cuando un servicio se obtiene formalmente, un proceso debe estar establecido contractualmente para garantizar que los estándares de seguridad de la información están vigentes, mantenidos y reportados. Un deber de informar cualquier infracción de seguridad deben incluirse formalmente en cualquier contrato y la frecuencia y oportunidad de presentar esos informes.

Por ejemplo, si tu empresa trabaja con una asesoría laboral que elabora las nóminas de tus empleados o con una gestoría fiscal para ayudarte con el tema de impuestos, estas asesorías deben firmar un contrato con tu empresa en el que se recojan las medidas de seguridad que deben adoptar respecto a los datos de terceros a los que van a acceder.

Todos los terceros que tienen acceso a la información o los sistemas de la empresa deben aceptar los siguientes términos en cualquier acuerdo:

  • Cumplimiento de la política de seguridad de los sistemas de información electrónica de la empresa.
  • Cumplimiento de la política de protección de datos de la empresa.
  • Disposiciones apropiadas para garantizar la seguridad continua de la información y los sistemas en el evento de terminación o transferencia de un contrato a otro proveedor.
  • Obligaciones de confidencialidad cuando un tercero tiene acceso a la información de la empresa.
  • Rutas de acceso seguro y derechos de acceso necesarios para el mantenimiento en función del principio de privilegios mínimos
  • Auditoría completa de todas las acciones.

Se debe buscar asesoramiento de especialistas en relación con cuestiones contractuales y cómo deberían incluirse estas medidas. El acceso a los datos por esos terceros no debe comenzar hasta que la empresa esté satisfecha con las medidas de seguridad implantadas por ellos y se haya firmado un contrato vinculante.

¿Qué debe incluir este contrato?

Este contrato de cesión de datos a terceros ha de incluir determinada información:

  • Identidad del destinatario al que se ceden los datos.
  • Finalidad de la cesión de los datos.
  • Duración del tratamiento y plazo de conservación de los datos.
  • Clases de interesados.
  • Datos personales a los que se tendrán acceso.
  • Obligaciones del responsable y encargado del tratamiento.

Consentimiento de cesión de datos

La Ley Orgánica señala que el consentimiento para la cesión de datos será nulo cuando la información facilitada al interesado no permita conocer la finalidad para la que se destinarán sus datos, ni el tipo de actividad que realiza el destinatario o tercero al cual se pretenden comunicar dichos datos.

En caso de que el encargado del tratamiento quiera subcontratar algún servicio que conlleve el acceso de un tercero a los datos, necesitará el consentimiento del responsable del tratamiento, ya sea con un contrato a tres bandas o en una cláusula contractual que recoja el expreso mandato del responsable del fichero para la subcontratación de dichos servicios.

Debida diligencia

El proceso de selección de un proveedor de servicios externo debe incluir la debida diligencia del tercero, una evaluación de riesgos y una revisión de los términos y condiciones propuestos para garantizar que la empresa no está expuesta a riesgos indebidos.

Este proceso puede implicar el asesoramiento de miembros de empresa con experiencia en derecho contractual, informática, seguridad de la información, protección de datos y recursos humanos.

Este proceso también debe incluir la consideración de cualquier política de seguridad de la información o similar del tercero y si son aceptables para la empresa.

¿Cuándo es obligatorio realizar una cesión de datos a un tercero?

El contrato de acceso a datos es obligatorio siempre que la empresa responsable de los datos personales contrate los servicios de un tercero y este, para poder prestar dichos servicios, necesite acceder a esa información personal.

Veamos algunos ejemplos:

  • Asesorías: las asesorías tienen acceso a los datos personales de los trabajadores de la empresa que las ha contratado para elaborar sus nóminas o a las facturas donde aparecen datos de los clientes de esa empresa para gestionar los impuestos. Deben firmar obligatoriamente ese contrato de encargados del tratamiento con la empresa.
  • Agencias de marketing: si contratas a una empresa para llevar los temas de marketing y publicidad, esta también tendrá acceso a datos personales de clientes y empleados por lo que igualmente deberá firmar ese contrato.
  • Empresas informáticas y de alojamiento web: en caso de que tu empresa externalice los servicios de mantenimiento informático o tengas una página web alojada en un servidor de un tercero, esas empresas podrán acceder a datos de tus clientes y empleados por lo que deben firmar también este contrato.

Casos en los que no será necesario informar sobre la cesión de datos según el RGPD

El RGPD establece casos en los que no será necesario informar sobre la cesión de datos. Estos casos son:

  • Cesión autorizada por Ley.
  • Se trate de datos recogidos de fuentes de acceso público siempre y cuando los datos sean para la satisfacción de interés legítimo propio y se respeten los derechos de los interesados.
  • El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo cumplimiento y control implique una necesaria conexión del tratamiento de ficheros de terceros. En otras palabras, cuando exista un contrato para prestar un servicio.
  • El destinatario de la comunicación sea el Defensor del Pueblo, el Ministerio Fiscal, Tribunal de Cuentas o Jueces o Tribunales.
  • La cesión sea entre Administraciones Públicas con el fin de tratarlos posteriormente con finalidad histórica, estadística o científica.
  • La cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero.

Cesión de datos a las Administraciones públicas

Cualquier cesión de los datos deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer los datos de la persona afectada, debido a que la ley de Protección de datos establece la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba.

Aplicando este criterio, la cuestión del uso legítimo de los datos por las Administraciones públicas vendrá determinada en cada caso por el cumplimiento de ambas premisas, siendo por ello determinante la consideración del desarrollo de competencias efectivamente atribuidas a cada una de ellas, de acuerdo con el principio administrativo de competencia.

tarifas proteccion datos autonomos

Cesión de datos entre empresas del mismo grupo

Las sociedades que se integren dentro de un Grupo de Empresas, tienen personalidad jurídica plena e independiente entre sí, y por tanto todo intercambio de datos que se produzca entre diferentes empresas del mismo Grupo empresarial será estimada como una comunicación o cesión de datos.

Así, se exige que cada empresa del grupo previamente:

  • Informe de la cesión y su finalidad al afectado.
  • Solicite su consentimiento.

No obstante lo anterior, es común en los grupos de empresas la existencia de una sociedad matriz que normalmente se encarga de la gestión de los datos de las otras empresas para proporcionarles servicios como la gestión de nóminas, contabilidad, marketing, soporte informático, etc.

En estos casos, aunque se trata de una cesión o comunicación de datos debe tenerse en cuenta:

  • Para evitar que esta comunicación sea interpretada como una cesión, se deberá formalizar un contrato de encargado de tratamiento entre la empresa matriz y aquella que le remita sus datos.
  • La encargada del tratamiento es la empresa matriz, y realizará ese tratamiento según las instrucciones facilitadas por las empresas responsables de los datos.
  • La empresa remitente de los datos sigue siendo responsable de los datos que maneja.

Por tanto, salvo en supuestos de prestación de servicios por parte de la empresa matriz a las filiales, o entre las mismas, toda cesión o comunicación de datos que no suponga el acceso datos por cuenta de terceros requerirá el consentimiento del afectado, así como el deber de información.

Consecuencias de no realizar correctamente la cesión de datos a terceros

Desde que entró en vigencia el RGPD, las autoridades de protección de datos han demostrado su disposición a emitir sanciones. Y las pequeñas y medianas empresas no están exentas de ellas. Las multas por incumplimiento pueden variar hasta 20 millones de euros o el 4% de los ingresos globales de la compañía.

Sin embargo, hay dos niveles de multas, según la gravedad y el tipo de violación.

Las multas emitidas por infracciones relacionadas con los procesadores de datos generalmente se incluyen en el primer nivel, que según las pautas puede ser tan grave como 10 millones de euros o el 2% de los ingresos globales.

En cualquier caso, es mucho menos doloroso firmar un acuerdo de procesamiento de datos y cumplir con los términos que pagar una multa por incumplimiento del RGPD.

Preguntas frecuentes

¿Cuándo el tratamiento precise cesión de datos a un tercero este será considerado?

El RGPD señala que la cesión de datos personales a terceros será considerada cuando “el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo cumplimiento y control implique una necesaria conexión del tratamiento de ficheros de terceros“. Es decir, en aquellos casos en los que exista un contrato para prestar un servicio.

¿Puede una empresa dar mis datos a otra sin mi consentimiento?

No, salvo en aquellos casos previstos por la normativa. Por ejemplo, no será necesaria la autorización para la cesión de datos a terceros cuando esté autorizado por la ley, cuando los datos sean necesarios para resolver problemas relacionados con la salud pública o cuando los datos hayan sido obtenido de una fuente pública y se respeten los derechos de los interesados.

Al finalizar la relación contractual, ¿qué se hace con los datos?

En el contrato firmado entre el responsable y el encargado del tratamiento debe establecerse expresamente el destino de los datos una vez finalizada la relación contractual.

El responsable del tratamiento puede acordar eliminar todos los datos personales al finalizar los servicios o que el encargado del tratamiento se los devuelva.

Si necesitas asesoramiento personalizado, no dudes en ponerte en contacto con Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.