Boletín
Actualidad Colegial

Ley de protección de datos 15/1999: compromisos de confidencialidad

Os recordamos la necesidad de ser cuidadosos con el cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos, y concretamente con aquellos aspectos que además son fáciles de cumplir, como pueden ser la firma de compromisos de confidencialidad tanto con aquellas empresas a las que subcontratéis servicios y que por ello tengan acceso a informaciones de carácter privado de trabajadores o de pacientes (externalización de nóminas, laboratorios de prótesis, empresas de informática, etc), como con los propios trabajadores de las clínicas.

Cuando se subcontraten servicios con acceso a datos, no basta con acreditar que existe una relación jurídica entre el responsable del fichero y dichas empresas (encargados de tratamiento). La LOPD en su artículo 12 establece que dicho acceso debe estar regulado en un contrato entre las partes en el que deben constar una serie de estipulaciones necesarias:

Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Así mismo, todos los usuarios de datos de carácter personal (empleados, colaboradores, socios, etc.) deben comprometerse a la obligación de secreto profesional (artículo 10) y a cumplir las medidas de seguridad (artículo 9) con respecto a los datos de carácter personal a los que tienen acceso en el ejercicio de sus funciones.

En relación al tema tratado se califica como infracción leve la transmisión de datos a un encargado de tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD. Las infracciones leves conllevan sanciones que van de los 900 a los 40.000 euros. Son infracciones graves el incumplimiento de lo establecido en los artículos 9 y 10 de la LOPD, lo que conlleva sanciones que van de los 40.001 a los 300.000 euros.

Os adjuntamos aquí como ejemplo unos modelos de contratos: éste para enviar a las empresas a las que subcontratéis y este otro para los propios trabajadores de las clínicas. En cualquier caso, podéis dirigiros a la empresa que os ayuda a gestionar el cumplimiento de la LOPD.