El Informe 0177/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la externalización de servicios que implican el tratamiento de datos personales, en conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). A continuación, se presenta un resumen de los puntos clave del informe.
### I. Externalización de Servicios y Aplicación de la LOPD
La entidad consultante desea contratar a una empresa para mantener actualizado un listado de centros y personal, lo que implica la entrega de datos personales como nombres, correos electrónicos y teléfonos. El informe analiza si estos datos están sujetos a la LOPD.
Según el artículo 2.2 del Reglamento de desarrollo de la LOPD, los tratamientos de datos referidos a personas jurídicas y los ficheros que se limiten a incorporar datos de personas físicas que presten servicios en aquéllas (nombre, apellidos, funciones, dirección postal o electrónica, teléfono y fax profesionales) no están sujetos a la LOPD. Sin embargo, si se incluyen datos adicionales (como el DNI), la LOPD sí se aplica.
El informe subraya que la finalidad del tratamiento debe ser incidental respecto a la entidad, no al individuo. Si la relación es «business to business» (B2B), la LOPD no se aplica; si es «business to consumer» (B2C), sí se aplica.
### II. Cesión de Datos vs. Encargado del Tratamiento
El informe distingue entre la cesión de datos y la figura del encargado del tratamiento. En la cesión, el receptor puede usar los datos para sus propias finalidades. En cambio, el encargado del tratamiento actúa bajo las instrucciones del responsable y no puede usar los datos para otros fines.
En el caso planteado, si la empresa consultora solo actualiza los datos y no los usa para otros fines, actúa como encargada del tratamiento. Para ello, es necesario un contrato escrito que especifique las instrucciones del responsable, las medidas de seguridad y la obligación de devolver o destruir los datos una vez concluida la prestación.
### III. Plataforma On-line y Medidas de Seguridad
Si la actualización de registros se realiza a través de una plataforma on-line, deben implementarse medidas de seguridad adecuadas. Según el artículo 104 del Reglamento, si se requieren medidas de nivel alto, los datos deben transmitirse cifrados o mediante mecanismos que garanticen su integridad y confidencialidad. Aunque no se transmitan datos especialmente sensibles, se recomienda usar protocolos seguros como HTTPS.
### IV. Inscripción de Ficheros de Proveedores
Finalmente, el informe aborda la necesidad de inscribir un fichero de proveedores. Si los datos recabados exceden de los excluidos en el artículo 2.2 y 2.3 del Reglamento, es necesario inscribir el fichero en el Registro General de Protección de Datos.
En resumen, el informe subraya la importancia de cumplir con la LOPD y su Reglamento de desarrollo al externalizar servicios que implican el tratamiento de datos personales. Es crucial definir claramente las responsabilidades y medidas de seguridad para garantizar la protección de los datos.