LOPD y los servicios de soporte y mantenimiento |

1 de 3

http://www.marzoasesores.es/?p=177

Asesoramiento, Consultora y Auditora en proteccin de datos,

comercio electrnico, redes sociales, contratos informticos y
propiedad intelectual en medios.

LOPD y los servicios de soporte y mantenimiento

Publicado abril, 2009

La Ley de Proteccin de datos de carcter personal (LOPD), y los servicios de soporte y mantenimiento en las
aplicaciones informticos y sistemas de informacin, cuando con dicha aplicaciones y sistemas se manejen datos
de carcter personal, no son ajenos al cumplimiento de la LOPD. Mas an, con el nuevo Reglamento que
desarrolla la LOPD, que recoge nuevas exigencias y obligaciones en cuanto al manejo de los datos de carcter
personal por parte de las empresas que presten estos servicios de soporte y mantenimiento a sus clientes.
En primer lugar debemos concretar que figura ostente, respecto a la LOPD, la empresa que presta los servicios de
soporte y mantenimiento de las aplicaciones informticas y los sistemas de informacin con datos de carcter
personal, que puedan tener los clientes a los que dichas empresas prestan los servicios de soporte y
mantenimiento. Para ello la LOPD define al responsable del fichero o responsable del tratamiento, la misma
figura con dos denominaciones, que es quien decide sobre el uso, contenido y finalidad de los ficheros, o en su
caso de los datos de carcter personal, que seria el cliente a quien se le presta por un tercero estos servicios de
soporte y mantenimiento. Y por otro lado se encuentra el encargado del tratamiento que es la persona fsica o
jurdica, publica o privada que trata los datos personales, es decir, los graba, copia, conserva, visualiza, etc., siendo
responsable de estos datos personales el cliente que contrata los servicios de soporte y mantenimiento.
Ya que el tratamiento de datos de carcter personal se realiza por llevar a cabo alguna de estas acciones: recoger,
grabar, conservar, elaborar, modificar, consultar, utilizar, cancelar, bloquear, suprimir y ceder; cualquier accin
que lleve a cabo la empresa que presta los servicios de soporte y mantenimiento de las aplicaciones informticas y
sistemas de informacin, donde se contengan datos de carcter personal, difcilmente no ser un tratamiento de
datos de carcter personal, convirtindose por tanto dicha empresa en un encargado del tratamiento. Esto supone,
que por el hecho de que los servicios de soporte o mantenimiento no conlleven el accede, literal, a los datos de
carcter personal del cliente, no por ello no dejar de ser la empresa que presta el soporte y mantenimiento un
encargado del tratamiento, dado que por los servicios que presta se podrn realizar otro tipo de acciones, de las
enumeradas anteriormente, que sin ser un acceso a datos, si suponen un tratamiento de datos de carcter
personal.
Esta condicin de encargado del tratamiento de la empresa que presta los servicios de soporte y mantenimiento,
debe formalizarse como tal, en un contrato suscrito por algn medio que deje constancia de su celebracin, dado
que si no se firma dicho contrato, el tratamiento de los datos llevado a cabo por la empresa que presta el soporte y
mantenimiento, puede considerarse como una cesin de datos, que derive en una sancin al cliente responsable
de los datos por cederlos, a la empresa que presta el soporte y mantenimiento, y una sancin por tratamiento sin
consentimiento para esta empresa que recibe los datos del cliente.
En este contrato firmado entre el responsable del fichero y el encargado del tratamiento se debe indicar, entre
otros, los fines para los que tratar los datos la empresa que presta el soporte y mantenimiento, las medidas de
seguridad que el encargado del tratamiento implantar y el destino de los datos una vez terminada la prestacin
del servicio, si la devolucin o la destruccin, que en la mayora de los casos para los servicios de soporte y
mantenimiento ser la devolucin.
Por otro lado, y dependiendo de cmo se realice el soporte y mantenimiento, se deber indicar en el contrato que
tipo de tratamientos se llevarn a cabo por la empresa que presta los servicios. Si ser, el tratamiento de los datos
de carcter personal, en las instalaciones del cliente, desplazndose el personal de la empresa que presta el
soporte y mantenimiento a los locales del cliente; si tambin se llevar a cabo de forma remota, conectndose a los
equipos del cliente el personal que presta el soporte y mantenimiento; y si en algn caso, se trasladarn equipos o

08/04/2013 19:06

LOPD y los servicios de soporte y mantenimiento |

2 de 3

http://www.marzoasesores.es/?p=177

soportes con informacin del cliente, a las dependencias y locales de la empresa que presta el servicio de soporte y
mantenimiento. Formas de prestarse el servicio, que determinan que medidas de seguridad deben implantarse o
exigir que se implanten, a la empresa que presta el soporte y mantenimiento. Dado que si nicamente se prestan
los servicios en las dependencias del cliente, quiz no tendr que elaborar un documento de seguridad,
sometindose a las medidas que tenga implantadas el cliente. Si en cambio, se presta el servicio de forma remota,
si deber mantener la empresa que presta el soporte y mantenimiento un documento de seguridad, pero quiz, no
con todas las medidas de seguridad que exige la normativa, segn el nivel de seguridad a implantar. Dado que al
no almacenar informacin en sus propios sistemas o equipos, sino solo acceder de forma remota, no tendr, en su
caso, que implantar medidas de seguridad como el control de acceso fsico, copias de seguridad, salida y entrada
de soportes, etc.
Si en cambio, el servicio de soporte y mantenimiento se lleve a cabo en los locales y dependencias del proveedor
del servicio, si tendr esta empresa que elaborar un documento de seguridad con todas las medidas de seguridad
exigidas por la normativa en proteccin de datos, de acuerdo con el nivel de seguridad exigido y acordado en el
contrato con el cliente.
Podra suceder tambin, que la empresa que presta los servicio de soporte y mantenimiento, no acceda ni trate
datos de carcter personal responsabilidad del cliente, porque, en los sistemas o aplicaciones donde opera no
hubiera datos de carcter personal. Si bien, y aunque en su cometido no estuviese acceder ni tratar estos datos de
carcter personal responsabilidad del cliente, si podra tener acceso a estos datos de carcter personal, aunque
como digo, no este dentro de su cometido ni labor, acceder ni tratar estos datos de carcter personal. Pues bien, en
estos casos en los que los servicios de soporte y mantenimiento, no conlleven en si, el acceso o tratamiento de
datos de carcter personal, pero teniendo las empresa que presta el soporte y mantenimiento, o su personal, la
posibilidad de acceder a estos datos personales, el cliente, en este caso responsable de los datos de carcter
personal, deber establecer medidas para impedir que se acceda a los datos, y prohibir expresamente que la
empresa que presta el soporte o mantenimiento no acceda a esta informacin o en su caso obligarle a que guarde
el deber de secreto y confidencialidad por los datos de carcter personal que haya podido conocer a la hora de
prestar los servicios.
Dependiendo de donde se encuentre la empresa que presta el servicio de soporte y mantenimiento, si estos se
prestan de forma remota o en sus dependencias y locales, se puede producir una transferencia internacional de
datos si dicha empresa se encuentra fuera de la unin europea. Circunstancia, que conlleva, por un lado, la
necesidad de notificar la transferencia internacional de los datos en el Registro General de Proteccin de Datos, y
por otro, dependiendo del pas de destino de estos datos de carcter personal, solicitar la autorizacin del director
de la Agencia Espaola de Proteccin de Datos para transferir estos datos, o recabar el consentimiento para poder
transferir los datos. Recalcando que esta transferencia internacional de los datos no es una cesin de datos, al
seguir llevndose a cabo los tratamientos para la prestacin de un servicio por parte del encargado del tratamiento
al responsable del fichero.
Si la entidad que presta los servicios de soporte y mantenimiento al cliente, accediendo y tratando los datos como
un encargado del tratamiento, contrata los servicios de terceros, empresas o profesionales no dependientes de
dicha entidad, para prestar parte de los servicios al cliente, estos terceros sern tambin encargados del
tratamiento, fruto de la subcontratacin de servicios. Debiendo regularse en el contrato que suscriba la entidad
que presta el soporte y mantenimiento y el cliente, esta participacin de los terceros, que accedern o tratarn los
datos de carcter personal responsabilidad del cliente, dado que si no se regula esta subcontratacin, se estar
produciendo una cesin de datos por parte de la entidad que presta el soporte y mantenimiento.
Es importante por tanto, recoger en el contrato entre el responsable del fichero y el encargado del tratamiento, no
solo lo exigido por la normativa de proteccin de datos, sino todos los aspectos del servicio de soporte y
mantenimiento que afecten a los datos de carcter personal, para evitar al cliente o la empresa que presta los
servicios de soporte y mantenimiento, posibles sanciones por el incumplimiento de la normativa en proteccin de

08/04/2013 19:06

LOPD y los servicios de soporte y mantenimiento |

3 de 3

http://www.marzoasesores.es/?p=177

datos de carcter personal.

Esta entrada fue publicada en Legal. Guarda el enlace permanente.

Copyright 2013 Marzo Asesores.

08/04/2013 19:06