Cuando una empresa decide destruir documentación externalizando este servicio con una empresa se debe formalizar la relación entre ambas igual que se haría con una asesoría o con una empresa de informática.
La Agencia Española de Protección de Datos (AEPD), nos recuerda en su informe 0227/2010 que la figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de manera que en aquellos supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, dicho acceso no pueda considerarse como una cesión de datos. Es así que el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”
Esta relación de tratamientos de terceros deberá estar regulada en un contrato que deberá constar por escrito y deberá contener como mínimo los siguientes aspectos:
– La descripción del servicio que se va a prestar
– Las medidas de seguridad a aplicar
– La limitación de utilizar los datos para otra finalidad distinta a la prevista en el contrato.
– La limitación de comunicar los datos, ni siquiera para su conservación, a otras personas.
También nos recuerda la AEPD que el responsable de los datos, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.