1.                  INTRODUCCIÓN. EL ARTÍCULO 17 DE LA DIRECTIVA 95/46/CE.

 La prestación de servicios a una empresa o profesional supone en un gran número de ocasiones el tratamiento de los datos de carácter personal generados por el receptor del servicio en su actividad diaria. De hecho, el servicio puede consistir en albergar bases de datos o en custodiar ficheros manuales, supuestos en los que los datos de carácter personal ni siquiera se encuentran físicamente ubicados en las instalaciones del responsable del fichero. 

Teniendo en cuenta lo anterior, resulta comprensible que las leyes sobre protección de datos incluyan la figura del prestador del servicio entre los sujetos obligados, pero con un régimen especial más flexible que el que regula las cesiones. Se trata, como explicaremos más delante, de conciliar la libertad organizativa del empresario con el mantenimiento de las medidas de seguridad en el tratamiento de los datos personales. 

La Directiva del Parlamento Europeo y del Consejo 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, denomina "encargado del tratamiento" al prestador de servicios que accede a datos de carácter personal incluidos en los ficheros del responsable. La definición que figura en su artículo 2, apartado e), y que repite textualmente la ley española de protección de datos, es la siguiente: 

"e) encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;"

El texto comunitario ubica las prescripciones relativas al encargado del tratamiento en los apartados 2 y 3 de su artículo 17, referido a la seguridad. De ello puede deducirse que la inclusión de esta figura obedece a la necesidad de regular el fenómeno de la externalización de los servicios, para que, en el supuesto de que se produzca un acceso a datos como consecuencia del mismo, se garanticen las medidas de seguridad apropiadas¹.  

En concreto, se determinan las siguientes garantías: 

·                     El responsable del fichero deberá elegir un encargado del tratamiento que reúna garantías suficientes de cumplimiento de las medidas de seguridad técnicas y organizativas.

·                     La realización del tratamiento deberá estar regulada por contrato u otro acto jurídico en el que se especifique que:

o                                            El encargado del tratamiento sigue instrucciones del responsable del mismo.

o                                            El encargado del tratamiento debe cumplir las obligaciones en materia de seguridad que determine la normativa aplicable.

El encargado del tratamiento se introduce en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) como consecuencia de la transposición de la Directiva a nuestro ordenamiento. Constituye una de las novedades más importantes de la LOPD con respecto a su predecesora, la tan citada LORTAD². En la LORTAD, se incluía una figura similar en el art. 27, bajo la rúbrica prestación de servicios de tratamiento automatizado de datos de carácter personal. El contenido de este artículo era mucho más limitado que el del actual artículo 12 LOPD, dedicado al encargado del tratamiento, pues sólo se aplicaba sólo al supuesto en el que el servicio que une a las dos empresas tuviera como objeto principal el tratamiento automatizado de datos. El encargado del tratamiento de la LOPD incluye cualquier prestación de servicios que requiera tratar datos del responsable del fichero de forma accesoria al objeto del contrato. Adicionalmente, la LOPD se amplía el régimen sancionador de la LORTAD incluyendo al encargado del tratamiento en su artículo 43.1: "Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley."

En los apartados siguientes, se analizará el régimen establecido en la LOPD para regular el tratamiento de datos por encargo.

2.                  CARACTERÍSTICAS DE LA FIGURA DEL ENCARGADO DEL TRATAMIENTO. EL CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS.

Como se ha indicado, la LOPD dedica su artículo 12 al encargado del tratamiento. La ubicación de este artículo en el texto de ley resulta también significativa: el artículo anterior es el relativo a cesiones de datos. De esta manera, el legislador marca la diferencia entre ambas figuras, dejando claro que el tratamiento de datos por encargos no queda incluido dentro del régimen de la cesión de datos.  

De acuerdo al texto del artículo 12, el tratamiento de datos que sea necesario para la prestación de un servicio no tiene la consideración de comunicación y no aparece sometido a las reglas enumeradas en el art. 11 LOPD, ni tampoco a sus excepciones. El tratamiento de datos por encargo no es un supuesto de cesión de datos en el que el consentimiento esté exceptuado, sino una figura distinta a la cesión.  

Así, a diferencia de la cesión o comunicación, el tratamiento de datos por encargo no precisa del consentimiento del interesado. Condicionar la prestación de un servicio a que el titular de los datos la consienta supone restringir la actividad empresarial, limitar la libertad organizativa del responsable del responsable del fichero. Sin embargo, para que opere el régimen del artículo 12, se exige como requisito la formalización de un contrato entre el responsable del fichero y el encargado del tratamiento con el siguiente contenido: 

·                     El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.

·                     El encargado del tratamiento aplicará o utilizará los datos con fin distinto al que figure en dicho contrato.

·                     El encargado del tratamiento no comunicará, ni siquiera para su conservación a terceras personas.

·                     El encargado del tratamiento estará obligado a implementar las medidas de seguridad a que se refiere el artículo 9 de la LOPD.

·                     El encargado del tratamiento no podrá conservar los datos finalizada la prestación del servicio.

El contrato debe constar por escrito o por cualquier otro medio que permita acreditar su celebración y contenido (así por ejemplo, podría formalizarse mediante grabaciones de imagen o sonido en el contexto de una video-conferencia). Esto no significa que las partes deban firmar un contrato cuyo objeto sea regular el tratamiento de datos por cuenta de terceros, sino que podrá incluirse un anexo o una cláusula sobre este particular en el contrato de prestación de servicios. 

Ahora bien, el artículo 12 resulta de aplicación en un supuesto concreto en el que entre las partes existe una relación contractual de arrendamiento de servicios³. Nuestro derecho no obliga a que el contrato de arrendamiento de servicios se formalice por escrito. Por lo tanto, en caso de que la relación que una a las partes sea un acuerdo verbal, sí que deberá existir un contrato escrito específico que recoja lo previsto en el artículo 12. 

Por lo que se refiere a la prohibición de comunicación de datos a terceros, debemos hacer mención al informe de la Agencia Española de Protección de Datos 513/2004 sobre subcontratación de servicios por el encargado del tratamiento⁴. De acuerdo al citado informe, el fundamento de tal previsión "se deriva directamente de la propia naturaleza del derecho fundamental a la protección de datos de carácter personal. En este sentido, si dicho derecho consiste, según indica el Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, en un poder de disposición del afectado sobre la información que le concierne, resulta lógico que, habiendo autorizado (o habiendo previsto la Ley) que los datos puedan ser objeto de tratamiento por parte de un determinado responsable, será preciso que dicho responsable conozca en cada momento que terceras entidades acceden a dichos datos, siempre en su nombre, a fin de garantizar al interesado que los datos de los que el mismo es titular no excedan del control de aquella entidad cuyo tratamiento ha sido aceptado por aquél."

En el informe comentado, la Agencia matiza la prohibición del art. 12, permitiendo  la subcontratación si el responsable del fichero la conoce o la autoriza, con su participación en un contrato con el subcontratista o bien encomendando un apoderamiento al encargado del tratamiento.   

Además, y aunque la Agencia no se ha pronunciado al respecto, deberíamos añadir que parece razonable diferenciar la subcontratación del objeto principal del contrato de los posibles trabajos que el encargado del tratamiento pueda externalizar para el desarrollo de su actividad. Obligar a solicitar autorización del responsable del fichero para todos ellos implica limitar la propia libertad organizativa del encargado del tratamiento. En definitiva, aquellos servicios que reciba el encargado del tratamiento en los que se acceda a datos de carácter personal del responsable del fichero no tendrían por qué ser autorizados por éste si no se refieren al objeto del contrato entre encargado y responsable. Pensemos en el supuesto de una empresa dedicada a la gestión de nóminas que mantiene un contrato de prestación de servicios informáticos con una tercera empresa. Es posible que el personal técnico de esta última deba acceder a los datos de las nóminas de los trabajadores, pero no resulta razonable exigir a la gestoría que requiera autorización de todos y cada uno de los responsables de ficheros para contratar con la empresa informática. Como alternativa, podría incluirse una cláusula entre la gestoría y sus clientes por la que el encargado del tratamiento se comprometa a firmar contratos de confidencialidad con sus prestadores de servicios y a presentarlos al responsable del fichero si así lo requiere. 

Por otro lado, el artículo 12 establece que cuando se ha cumplido la prestación contractual, los datos deberán ser destruidos o devueltos al responsable del tratamiento, junto con cualquier soporte en los que consten (CDROM, papel, etc....). Esta prescripción es difícilmente aplicable en la práctica. En muchos casos, el encargado del tratamiento deberá mantener una copia de los datos tratados a efectos de acreditar la prestación del servicio o con vistas a posibles responsabilidades que se deriven del contrato. Por ello, es recomendable que esta obligación impuesta en el art. 12 LOPD se modifique por común acuerdo de las partes en el contrato⁵. 

Por último, señalaremos que en caso de incumplirse la obligación de formalizar mediante un contrato por escrito el tratamiento de datos, se considerará que se ha producido una cesión de datos y se aplicará el art. 11 de la LOPD. Ello implica que, al no contar con el consentimiento del interesado para la cesión, podría incurrirse en una infracción muy grave, de acuerdo al artículo 44.4.b LOPD: 

"b.-La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas."

Las infracciones muy graves están sancionadas con multa de 300.506 euros a 601.012 euros por el art. 45.3 LOPD. 

Éste ha sido el criterio mantenido hasta ahora por la AEPD en sus resoluciones, que se ha visto confirmado por distintas sentencias de la Audiencia Nacional: La inexistencia de un contrato escrito con las menciones necesarias del art. 12 de la LOPD, convierte en cesión de datos cualquier intercambio entre las partes, aunque se demuestre la existencia de un acuerdo de prestación de servicios verbal⁶.

3.                  DIFERENCIAS ENTRE EL RESPONSABLE DEL FICHERO Y EL ENCARGADO DEL TRATAMIENTO.

La figura del encargado del tratamiento presupone necesariamente la existencia de un responsable del fichero. Sin éste último, no puede hablarse de encargado del tratamiento. En ocasiones, responsable del fichero y encargado del tratamiento se confunden, planteándose dudas sobre las obligaciones de cada una en el tratamiento de los datos e, incluso, sobre qué empresa debe ocupar una u otra posición.  

En su Memoria del año 2000, poco tiempo después de la aprobación de la LOPD, la Agencia incluía un epígrafe dedicado a la prestación de servicios por cuenta de terceros, resultado de las reiteradas consultas sobre le tema. En él se indica: 

"Se han recibido reiteradas consultas referidas al supuesto específico en que las actividades de una determinada empresa que implican un tratamiento automatizado de datos de carácter personal (nóminas, contabilidad, etc,) son efectuadas por una entidad asesora, sin que por la empresa se realice un tratamiento efectivo de dichos datos. En particular, se ha planteado a quien corresponderá el cumplimiento de las obligaciones reguladas por la LOPD.

De lo establecido en la mencionada Ley debe señalarse que las obligaciones que la misma impone, en particular la de proceder a la notificación del fichero a la Agencia Española de Protección de Datos, habrán de cumplirse por parte de quien ostente la condición de responsable del fichero, definido por el artículo 3.d) de la Ley como "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".  

Por tanto, es el responsable del fichero quien debe aparecer identificado en las cláusulas informativas que acompañan la recogida de datos de carácter personal (art. 5 LOPD) y quien debe hacer efectivos los derechos de acceso, rectificación, cancelación y oposición de los interesados.  

La característica que diferencia al responsable del fichero del encargado del tratamiento es la capacidad para decidir sobre la finalidad, contenido y uso del fichero. El encargado del tratamiento no es autónomo en la toma de decisiones, depende en última instancia del responsable del fichero. En la cesión, sin embargo, el cesionario no tiene que limitar su actuación a las instrucciones del cedente. 

La Agencia Española de Protección De datos resalta esta capacidad de decisión como elemento diferenciador de ambas figuras en uno de sus informes, relativo a la prestación de servicios de housing⁷. El origen del informe es una consulta en la que se plantea si una entidad debía implantar las medidas de seguridad de nivel medio o alto en caso de prestar un servicio de "housing" a una entidad que trata datos de carácter personal sobre los que deben implantarse este tipo de medidas. Para responder esta cuestión, la Agencia tuvo que determinar con carácter previo si la empresa consultante tenía la condición de encargado del fichero, concluyendo:  

"(...) Dado que, sin perjuicio de que en principio la consultante se limita a poner a disposición de su cliente los locales, desarrolla otras actividades, tales como, tal y como se señala en la consulta, la conectividad a Internet de los sistemas, encontrándose asimismo los datos en sus locales, debe considerarse que la entidad consultante es encargada del tratamiento, siendo preciso dar cumplimiento al régimen establecido por el artículo 12 de la Ley Orgánica 15/1999 (...).".  

4.                  EL CESIONARIO DE DATOS DEL ARTÍCULO 11.2.c DE LA LOPD.

El artículo 11 de la LOPD establece como norma general en su apartado primero la necesidad de recabar el consentimiento del interesado con carácter previo a la cesión de sus datos. El apartado segundo del citado precepto, contiene una serie de excepciones a la norma general, es decir, supuestos en los que se podrán ceder los datos del interesado sin su consentimiento. Entre estos supuestos, el apartado 11.2.c) indica: 

"c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo contenido, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique."

La interpretación de este precepto ha originado discusiones entre la doctrina, sin que ningún autor proporcione una interpretación mayoritariamente aceptado. Debemos recordar que este precepto existía en la antigua LORTAD, ley que no recogía la figura del encargado del tratamiento. En ese contexto, la inclusión de una excepción al consentimiento en el marco de relaciones jurídicas entre empresas que prestan servicios a otras podría tener aplicación práctica. Así, afirma Carlos ALONSO: 

"Por lo que respecta a la "necesariedad" de la conexión para el desarrollo, cumplimiento o control de la relación jurídica, plantea dudas interpretativas a las que ya se han aludido, y que en el fondo va a dar lugar a  que este "necesariamente" sea interpretado restrictivamente por la Agencia de Protección de Datos. Esta tendencia, que ya se detectó con la antigua LORTAD, ha dado lugar a que la mayoría de supuestos las relaciones se articulen bajo la forma de prestaciones de servicios, tratando de encontrar cobertura para excepcionar el consentimiento en el acceso a datos por cuenta de terceros que regula el artículo 12 de la LOPD. Esta particularidad hace que en la práctica, la excepción del art. 11.2.c) haya quedado prácticamente vacía de contenido."⁸

Otros autores como HEREDERO HIGUERAS o HERRANZ ORTIZ afirman que este precepto incluye casos de consentimiento presunto o tácito, según el caso, especialmente aplicables a las relaciones bancarias (por ejemplo, pago con tarjeta de crédito). La crítica a este sector doctrinal parece evidente y es claramente enunciada entre otros por MESSÍA DE LA CERDA: 

"Si se sostiene que este supuesto es una excepción al consentimiento, sencillamente se manifiesta que la falta del mismo no impide la validez de la cesión, de manera que se admite la posibilidad de que tal requisito no concurra en tales casos."⁹

En cualquier caso, la Agencia no ha publicado consultas o informes jurídicos sobre este precepto, síntoma de su escasa aplicación en la práctica.

5.                  EL PERSONAL UNIDO POR RELACIÓN LABORAL AL RESPONSABLE DE UN FICHERO

La Agencia Española de Protección de Datos dispone de una sección en su página web sobre preguntas frecuentes referidas a la inscripción de ficheros. Al explicar qué debe entenderse por encargado del tratamiento, afirma: 

"No se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales en su condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero." ¹⁰

Lo contrario carecería de sentido a la vista de las diversas prescripciones que se establecen en la normativa de protección de datos sobre el personal del responsable del fichero. En primer lugar, de acuerdo al art. 10 LOPD el personal laboral estará sujeto al deber de secreto, deber que es independiente y distinto del secreto profesional al que están sometidas determinadas profesiones (médicos y abogados, por ejemplo). La obligación de guardar secreto nace del hecho de tratar los datos de carácter personal y se mantiene aún después de haber finalizado la relación que unía al trabajador con el responsable del fichero. 

Por otro lado, el art. 12 del Reglamento de Medidas de Seguridad¹¹, cada trabajador estará autorizado para acceder únicamente a aquellos datos que le sean necesarios para la realización de su trabajo diario: 

"1.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados"

Además, el responsable del fichero tiene la obligación de poner en conocimiento de aquellos usuarios que realizan tratamiento de datos los procedimientos, normas, estándares de seguridad aplicables a los mismos. Esto se traduce en la práctica en la necesidad de informar al personal de aquellas medidas establecidas en el documento de seguridad que les afecten. El art. 9 del Reglamento de Medidas de Seguridad establece en su segundo párrafo: 

"El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento."

6.                  CONCLUSIONES. EL ESTATUTO DEL ENCARGADO DEL TRATAMIENTO EN EL BORRADOR DE REGLAMENTO DE LA LOPD.

En numerosas ocasiones, la firma de contratos de tratamiento de datos por encargo se ha convertido en una rutina entre empresas de prestación de servicios, que formalizan acuerdos que repiten textualmente el contenido del artículo 12 sin cumplir después las obligaciones asumidas. Sin embargo, aquellas empresas que demuestran interés en la normativa de protección de datos o que se encuentran en sectores de riesgos (telecomunicaciones, banca, ficheros de morosos, ...) se han enfrentado a dos problemas a la hora cumplir las obligaciones recogidas en el artículo 12 de la LOPD: la prohibición de subcontratación de servicios y la obligación de destruir o devolver los datos tratados. Por ello, la regulación del encargado del tratamiento ha sido matizada por la Agencia Española de Protección de Datos a través de consultas e informes jurídicos para adaptarla a la realidad práctica. Dichas matizaciones no parecen suficientes para contrarrestar la escasa importancia que el articulado de la LOPD confiere al encargado del tratamiento, que es, no podemos olvidarlos, sujeto de las sanciones recogidas en la ley junto al responsable del fichero.

El borrador de reglamento de desarrollo de la LOPD¹² confiere mayor relevancia a esta figura, quizás para poner fin a la situación arriba comentada. Como señala en su preámbulo:  

"(...)Se ofrece lo que no puede definirse sino como un estatuto del encargado del tratamiento, que sin duda contribuirá a clarificar todo lo relacionado con esta figura. Las previsiones en este ámbito se completan con lo dispuesto en el Título VIII en materia de seguridad dotando de un marco coherente a la actuación del encargado."

A continuación, resumiremos los puntos fundamentales de este "estatuto" del encargado del tratamiento:

1º.- Se amplía la definición del art. 3 de la LOPD, indicando el art. 5.i) que el encargado del tratamiento es: 

"La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará encargado del tratamiento a la persona o personas integrantes de los mismos."

2º.- Los artículos finales del título II (arts. 17, 18 y 19) están dedicados exclusivamente al responsable del tratamiento, recogiéndose en ellos el criterio mantenido por la Agencia en cuanto a subcontratación de servicio y conservación de datos. A este respecto, es de destacar que de acuerdo al art. 19.2 "el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del fichero". Sin embargo, no se indica tiempo mínimo o máximo de conservación.

3º.- En relación al ejercicio de los derechos de acceso, rectificación, cancelación y oposición, se establece la obligación del encargado del tratamiento de trasladar la petición al responsable del fichero (art. 23) en plazos concretos. Hasta la fecha se viene admitiendo que el encargado del tratamiento se limite a contestar al interesado que no le correspondía atender su solicitud.

4º.- Por último, comentaremos que se incluyen previsiones específicas sobre medidas de seguridad que deberá adoptar el encargado del tratamiento. El vigente reglamento de Medidas de Seguridad obvia por completo el tratamiento de datos resultado de una prestación de servicios, al ser anterior a la aprobación de la LOPD. En el art. 79 del borrador, se establece:

"1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes de su propiedad, deberá hacerse constar esta circunstancia en el documentó de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este Reglamento."

En conclusión podemos afirmar que, sea cual sea la versión definitivamente aprobada, lo que queda claro es el interés de la Agencia por conferir al encargado del tratamiento mayor importancia de la que ha tenido hasta ahora.

7.                  BIBLIOGRAFÍA

·                     ALONSO MARTÍNEZ, Carlos: El consentimiento en entidades financieras. ASNEF. Asociación Nacional de Establecimientos Financieros. 2002.

·                     APARICIO SALOM, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Editorial Aranzadi. Elcano (Navarra), 2000.

·                     ARENAS RAMIRO, Mónica: El derecho fundamental a la protección de datos personales en Europa. Tirant lo Blanch y Agencia Española de Protección de Datos.  Valencia, 2006.

·                     DAVARA RODRÍGUEZ, Miguel Ángel: Manual de Derecho de Informático. Thomson Aranzadi. Elcano (Navarra), 2005.

·                     HEREDERO HIGUERAS, Manuel: La Directiva Comunitaria de Protección de los Datos de Carácter Personal. Comentario a la Directiva del Parlamento Europeo y del Consejo 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Aranzadi. Elcano (Navarra), 1997.

·                     HERRANZ ORTIZ, Ana Isabel: El derecho a la intimidad en la nueva Ley Orgánica de Protección de Datos Personales. Dykinson. Madrid, 2002.

·                     MARTÍNEZ MARTÍNEZ, Ricard: Una aproximación a la autodeterminación informativa. Thomson Civitas. Madrid, 2004.

·                     MÉJICA, Juan y DÍEZ, José Ramón: El estatuto del paciente a través de la nueva legislación sanitaria estatal. Thomson Civitas. 2006.

·                     Memorias de la Agencia Española de Protección de datos, editadas en CD-ROM de distribución gratuita.

·                     MESSÍA DE LA CERDA BALLESTEROS, Jesús Alberto: La cesión o comunicación de datos de carácter personal. Thomson Civitas. Madrid, 2003.

·                     PUJOL MONTERO, Javier: "El derecho de acceso", en la obra colectiva La Protección de Datos (I). Boletín del Ilustre Colegio de Abogados de Madrid. Núm. 35. 3ª época. Febrero de 2007.

·                     SERRANO PÉREZ, María Mercedes: El derecho fundamental a la protección de datos. Derecho español y comparado. Thomson Civitas. Madrid, 2003.

·                     SANCHEZ CARAZO, Carmen y SANCHEZ CARAZO, Juan María: Protección de datos de carácter personal relativos a la salud. Agencia de Protección de Datos. Premio Protección de Datos Personales 1999. Madrid, 1999.

·                     SÁNCHEZ MARQUIEGUI, Javier: "Resoluciones recientes sobre la protección de datos de carácter personal". Dossier de La Gaceta de los Negocios. Documentos Legal y Fiscal. 11 de junio de 2006.

·                     TASCÓN LÓPEZ, Rodrigo: El tratamiento por la empresa de Datos Personales de los Trabajadores. Análisis del estado de la cuestión. Thomson / Civitas. Madrid, 2005.

·                     ULL PONT, Eugenio: Derecho Público de la Informática. Protección de datos de carácter personal. 2ª edición actualizada. UNED Ediciones. Madrid, 2003.

·                     VARIOS AUTORES (Carlos Alonso Martínez coord.): Guía práctica de protección de datos para el Marketing Directo. FECEMD (Federación de Comercio Electrónico y Marketing Directo) y PD & BD (Asociación de Publicidad Directa y Bases de Datos).

·                     VARIOS AUTORES (Pedro González Salina y Emilio Lizarraga Bonelli coord.): Autornomía del paciente, información e historia clínica (Estudio sobre la Ley 41/2002, de 14 de noviembre). Thomson Civitas. 2004.

·                     VARIOS AUTORES (Manuel José Perol Becerra dir.): Los derechos sociales. Anuario multidisciplinar para la modernización de las administraciones públicas. Nº 2, Año 2006. Dispone en http://www.juntadeandalucia.es/institutodeadministracionpublica/anuario/home.jsp (30/03/07)

·                     VILLAVERDE MENÉNDEZ, I: "Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo a propósito de la STC 254/1993". En REDC, nº 41, 1994, pp.193-201.

·                     VIZCAINO CALDERÓN, Miguel: Comentarios a la Ley Orgánica de protección de datos de carácter personal. Ed. Civitas. Madrid, 2001.

[1] En este sentido, HEREDERO HIGUERAS señala: "1. Este artículo es el resultado de la supresión del que en la propuesta de 1992 figuraba como artículo 24 y la consiguiente inclusión de sus disposiciones en un nuevo artículo 17 (primeramente 17 bis), del cual fue, a su vez, segregado el actual artículo 16. En realidad, este precepto trata dos temas independientes, por lo cual podría haber sido mantenido en la forma en que figuraba en el texto de 1992, o bien podía haber sido escindido en dos en función de las materias respectivas. Los apartados 1 y 2 tratan de las obligaciones del responsable del tratamiento en cuanto a medidas de seguridad de los datos, y los apartados 3 y 4 del tratamiento de datos efectuado por un encargado, según este concepto se define en el artículo 2,e). La inclusión de los temas en un mismo precepto se explica, sin duda, por la preocupación por la seguridad de los datos en los casos en que el proceso de los datos sale del control inmediato del responsable del tratamiento. Por eso, el apartado tres constituye un eslabón de enlace entre ambas cuestiones.(....)" . HEREDERO HIGUERAS, Manuel: La Directiva Comunitaria de Protección de los Datos de Carácter Personal. Comentario a la Directiva del Parlamento Europeo y del Consejo 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Aranzadi. Elcano (Navarra), 1997. Páginas 162-164.

[2] Como señala DAVARA: " Por su parte, la Directiva introduce en sus definiciones una distinción clara entre el "responsable del tratamiento" y el "encargado del tratamiento", cuestión que ha obligado a contemplar esta última figura en nuestra ley, entendiendo que es muy distinta la posición de responsabilidad del responsable del fichero o tratamiento, como persona que decide sobre la finalidad, contenido y uso del tratamiento, a la del encargado del tratamiento que se limita a ser una persona que trata datos personales por cuenta de aquél. La referencia clara a la persona que decide sobre la finalidad, tratamiento y uso, definirá la responsabilidad como titular del fichero o tratamiento, siendo el encargado del tratamiento solamente una persona que trata los datos por cuenta de un tercero sin posibilidad de decisión alguna sobre ellos." DAVARA RODRÍGUEZ, Miguel Ángel: Manual de Derecho de Informático. Thomson Aranzadi. Elcano (Navarra), 2005. Página 86.

[3] En este sentido,  APARICIO SALOM indica: "La relación contractual que se contempla en el artículo 12 de la LOPD es la de un arrendamiento de servicios, esto es, aquel contrato por el que una persona se compromete a prestar algún servicio a otra a cambio de un precio.

La característica esencial del contrato de arrendamiento de servicios es que quien los presta actúa por cuenta de quien lo encarga, de modo que el riesgo o beneficio de los resultados del servicio siempre recaerá sobre el arrendatario, esto es, quien encarga el servicio.

A su vez el arrendamiento de servicios puede pactarse de modo que el prestador del servicio actúe libremente, en atención sólo a la consecución de un resultado o conforme a las instrucciones de quien lo encarga, o, de forma mixta, con arreglo a las instrucciones del arrendatario y aplicando su leal saber y entender para la mejor consecución del resultado pretendido en cuanto al resto. "(APARICIO SALOM, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Editorial Aranzadi. Elcano (Navarra), 2000 P. 128-129)

[4] Dicho informe se encuentra disponible en la página web de la Agencia: www.agpd.es (20/08/07)

[5] En este sentido, el Informe 283/2004 de la Agencia, disponible en www.agpd.es (20/08/07), afirma:

"No obstante, el artículo1255 del Código Civil establece que "los contratantes pueden establecer los pactos, cláusulas y condiciones que tengan por conveniente, siempre que no sean contrarios a las leyes, a la moral, ni al orden público."

 En este sentido, será posible que el contrato pudiera estipular que el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo.

 De este modo, la conservación de los datos por el encargado del tratamiento durante ese período concedido para la conformidad del responsable a su actividad podría considerarse conforme a lo dispuesto en la Ley Orgánica 15/1999, puesto que sólo tras dicha conformidad podría entenderse "cumplida la prestación" en los términos establecido en el propio contrato."

[6] A tal efecto, podemos citar la resolución R/00594/2004, en la que se indica:

"La Audiencia Nacional en su sentencia de 19/11/2003 ha declarado que "para tener la condición legal de encargado del tratamiento, al que por cierto le es de aplicación el régimen sancionador que establece la Ley Orgánica 15/1999, según dispone el artículo 43.1 de la expresada Ley, es necesario cumplir una serie de exigencias necesarias, que operan a modo de garantías, establecidas en el artículo 12 de la Ley Orgánica 15/1999. Así es, cuando el tratamiento se realice por cuenta de un tercero debe constar "por escrito no basta con acreditar que existe una relación jurídica entre el responsable del fichero y el encargado del tratamiento, sino que ésta ha de constar por escrito o por otra forma que permita acreditar su "celebración y contenido". En este sentido, la propia Ley prevé un contenido mínimo del contrato entre las partes en el que deben constar una serie de estipulaciones necesarias, a saber, seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas (artículo 12.2 párrafo primero), estipular las medidas de seguridad del artículo 9 (artículo 12.2 párrafo segundo) y cumplida la prestación destruir los datos o proceder a su devolución al responsable del tratamiento (artículo 12.3 ).

Pues bien en el caso examinado, la repetición de una práctica reiterada mensualmente en la impresión de nóminas pudiera, en el mejor de los casos, acreditar una relación contractual, pero no de la naturaleza y características que establece el artículo 12, pues no acredita el contenido de la relación, ni expresamente contiene la advertencia de que el encargado del tratamiento "únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, ni los comunicará (...) a otras personas", párrafo segundo del citado precepto".

En cuanto a los pactos verbales en contratos de este tipo, la Audiencia Nacional ha señalado en su sentencia de 15/11/2002 que "ciertamente el artículo 12 de la Ley también habla de "constancia en alguna otra forma" que permita acreditar la celebración del contrato. Pero estos términos no pueden interpretarse, como pretende el recurrente, en el sentido de que rige el principio de libertad de forma y es posible un pacto verbal, lo que sería contradictorio con que al mismo tiempo la norma exija forma escrita. Lejos de ello lo que ocurre es que existen formas de formalización que pueden ofrecer garantías similares a la forma escrita (vgr. Un supuesto de firma electrónica avanzada conforme a lo establecido en el Real Decreto-Ley 14/1999, caso en el que no existiría un documento escrito en sentido estricto)"

[7] Naturaleza de encargado del tratamiento del prestador de servicios de housing. Informe jurídico 416/2004, disponible en http://www.agpd.es  (20/08/07).

[8] ALONSO MARTÍNEZ, Carlos: Protección de datos de carácter personal. El consentimiento en entidades financieras . Edición de ASNEF. Asociación Nacional de Establecimientos Financieros de Crédito. 2.002. Página 88.

[9] MESSÍA DE LA CERDA BALLESTEROS, Jesús Alberto: La cesión o comunicación de datos de carácter personal.   Civitas. Madrid, 2003. Página 122.

[10] Fuente: https://www.agpd.es/index.php?idSeccion=358 (20/08/07)

[11] Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, dictado en desarrollo del art. 9 de la LOPD.

[12] Existen distintas versiones del borrador preparado por la Agencia. Para el presente trabajo se ha utilizado la disponible en http://derechotics.com/index php?option=content&task=view&id=145&Itemid=179 (20/08/07).