Las empresas trabajan, en ocasiones, con terceras personas que tienen acceso a sus datos por razones relacionadas con su actividad. En este sentido, se establecen protocolos para garantizar la protección de sus datos y el cumplimiento tanto de la LSSICE (Ley de Servicios de la Sociedad de la Información) como de la adaptación a la LOPD (Ley Orgánica de Protección de Datos). La fórmula idónea es la formalización de un contrato de tratamiento de datos, trámite en el que pueden colaborar las empresas que se dedican a la auditoría y consultoría.
Es especialmente delicado el traspaso de datos entre empresas que prestan servicios y tiene que estar estipulado por contrato
Este contrato se celebra entre el responsable del fichero y el encargado del tratamiento. Estos últimos actores pueden ser, por ejemplo, la gestoría que confecciona las nóminas de los empleados, empresas de seguridad y vigilancia o de almacenamiento externo y destrucción de información, imprentas que etiquetan sobres para mailings o empresas de mantenimiento que tienen acceso a aplicaciones en las que se almacenan bases de datos.
Estos servicios deberán estar regulados mediante el contrato de acceso por cuenta de terceros, de manera que se asegure el cumplimiento de los preceptos contenidos en el artículo 12 de la LOPD y el 20.2 de su Reglamento de desarrollo.
Por lo tanto, cabrá exigir a los encargados del tratamiento de los datos una serie de condiciones: habrán de tratar los datos conforme a las instrucciones del responsable del tratamiento y no usarlos con finalidades diferentes a las establecidas en el contrato ni comunicarlos a otras personas. Una vez terminado el contrato, los datos deberán ser devueltos al responsable o destruidos. Por último, para subcontratar con otro tercero, el encargado necesitaría la autorización del responsable.
En definitiva, el tratamiento de los datos de una empresa por parte de trabajadores externos supone una actividad sensible que se ha de regular hasta el más mínimo detalle para evitar disfunciones.