Empresas de destrucción de documentos

El informe 0227/2010 de la AEPD resuelve la manera de formalizar la relación entre una empresa que quiere destruir documentación que contiene datos personales y la empresa que se ha a encargar materialmente de dicha destrucción.

Debemos recodar que la figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de manera que en aquellos supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, dicho acceso no pueda considerarse como una cesión de datos.

Es preciso que el acceso a los datos por el tercero (en el presente caso por la empresa prestadora del servicio de destrucción de documentos) se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida en un contrato de acceso a datos por cuenta de terceros con el contenido definido en el art. 12 de la LOPD:

  • Descripción del servicio a realizar.
  • Que no utilizará los datos para ninguna otra finalidad distinta a la que existe en el contrato.
  • Que no los comunicará, ni siquiera para su conservación a otras personas.

A TENER EN CUENTA

El encargado del tratamiento está obligado a implantar las medidas de seguridad (de nivel básico, medio ó alto) que requieran la naturaleza de los datos que trata.

Las medidas de seguridad que debe aplicar el encargado del tratamiento deberán constar en el contrato de acceso a datos que se firma con el encargado.