El Informe 0179/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) a un servicio de asistencia informática remota prestado a clientes particulares. La consulta plantea varias dudas sobre la legalidad y las medidas de seguridad necesarias para este tipo de servicio.
En primer lugar, se determina si la prestación del servicio de asistencia informática remota constituye un tratamiento de datos personales. Según la LOPD y la Directiva 95/46/CE del Parlamento Europeo, el tratamiento de datos incluye cualquier operación que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, comunicación, interconexión, bloqueo, supresión o destrucción de datos personales. La AEPD concluye que la mera visualización de datos personales durante la conexión remota ya constituye un tratamiento de datos, por lo que es necesario el consentimiento del interesado para llevar a cabo esta actividad.
En segundo lugar, se analiza la aplicación del artículo 83 del Reglamento de desarrollo de la LOPD, que establece medidas para limitar el acceso del personal a datos personales cuando se prestan servicios que no implican el tratamiento de datos. La AEPD aclara que este artículo no es aplicable en el caso de la asistencia informática remota, ya que dicha actividad sí implica el tratamiento de datos personales. Por lo tanto, las medidas de seguridad deben estar orientadas a proteger los datos durante el acceso remoto.
Finalmente, se aborda la cuestión de la subcontratación del servicio. La AEPD indica que la empresa consultante adquiere la condición de responsable del tratamiento de datos personales, y cualquier subcontratista se convierte en encargado del tratamiento, sujeto a las obligaciones establecidas en el artículo 12 de la LOPD y en el Reglamento de desarrollo de dicha Ley. Esto implica que el subcontratista debe cumplir con las medidas de seguridad y confidencialidad necesarias para proteger los datos personales.
En resumen, el informe subraya la importancia de obtener el consentimiento del cliente para el acceso remoto a sus datos y de implementar medidas de seguridad adecuadas para proteger la información personal durante la prestación del servicio. Además, se enfatiza la responsabilidad del encargado del tratamiento y del subcontratista en el cumplimiento de la normativa de protección de datos.