LOPD ¿Quién es el responsable del fichero quien recoge o el propietario?
En mi tienda recojo datos de mis clientes para la financiera con la cual colaboro. ¿Quién es el responsable del fichero?
Tengo una duda respecto a los ficheros que trabajo.
Tengo un comercio y entre mis servicios ofrezco la posibilidad a mis clientes de realizar la financiación con "BANCO X"
Con BANCO X, tengo firmado un convenio en el cual soy el colaborador y como tal me encargo de recabar los datos y velar por el cumplimiento de las medidas de seguridad según el nivel que les correspondan, siendo los datos propiedad exclusiva de BANCO X, el cual me solicita la cesión de datos previo consentimiento de los clientes.
A todo esto mi duda es, tengo que notificar el FICHERO CLIENTES FINANCIACIÓN a la aepd, porque no se si simplemente actúo como tercero o como responsable temporal, mientras los datos estén en mi posesión.
Si ese fichero no me corresponde, como justifico en mi Documento de Seguridad el cumplir las medidas de nivel medio, pues me lo exige BANCO X.
4 respuestas
Usted esta realizado una recogida de datos, por lo tanto, ha de tener dado de alta el fichero en la agencia de protección de datos, y establecer los protocolos o medidas de seguridad necesarios para ello. Ademas, ha de informar en la recogida de datos, que los datos son cedidos al Banco X, para xxxxx cuestiones, como seguro le figura en el contrato firmado con ellos.
Si pero mi duda es si actuo como responsable, como usted dice, y por tanto los tengo que dar de alta en la AEPD.
O simplemente actúo como encargado de tratamiento, por lo tanto el fichero sera notificado por BANCO X, para quien colaboro y solo he de remitirme a aplicar las medidas como indica la ley:
Artículo 82 Encargado del tratamiento
- Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
Teniendo en cuenta que según la ley tratamiento se entiende:
" cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias"
A mi entender me encuentro en este caso, por lo cual los datos son comunicados por relación contractual.
De ahi mi duda
En nuestra opinión, y sin conocer el caso concreto, dependerá de si usted utiliza estos datos o solo los recoge para el tercero. Habitualmente si los utilizará (al menos en parte), por ejemplo en casos de reclamaciones o para gestionar el cobro, siendo por lo tanto, responsable de fichero.
En nuestra opinión, y sin conocer el caso concreto, dependerá de si usted utiliza estos datos o solo los recoge para el tercero. Habitualmente si los utilizará (al menos en parte), por ejemplo en casos de reclamaciones o para gestionar el cobro, siendo por lo tanto, responsable de fichero, que además cede los datos a las entidades financieras o de seguros.
Usted sería el responsable del fichero y el banco el encargado del fichero. Debe firmar un contrato con ellos para que usted no tenga responsabilidad en el caso de que ellos hagan un mal uso de los datos.
Si precisa de asesoramiento al respecto puede contactar conmigo en [email protected], ya que realizado adaptación de negocios a la LOPD. Debe dar de alta a los ficheros en la AEPD con el nivel de seguridad requerido según los datos que maneja, tener un documento de seguridad que debe ir actualizando, realizando copias de seguridad, auditorías cada 2 años, etc.
Un saludo,
Mayte Velasco
A mi entender en todo caso eres responsable de fichero y las entidades con las que colaboras son encargadas de tratamiento.
Tienes que tener firmados con ellos (entiendo que con los bancos ya lo tendrás) los obligatorios contratos de prestación de servicios (Articulo 12).
Igualmente a la hora de recoger los datos para esas entidades el cliente tiene que firmarte un documento de consentimiento de cesión de datos.
Si cuando inscribiste o te inscribieron el fichero de clientes en el apartado de cesión de datos indicaste cesión a entidades bancarias junto con las demás que tienes que indicar no necesitas dar de alta un nuevo fichero. De no ser así con modificar el fichero existente es suficiente.
Ojo con no tener los contratos de prestación de servicio firmados o el consentimiento por parte del cliente, ya que te puede traer serios problemas.
Si me indica cual es la denominación social del Banco, es decir, cual es el Banco, quizás le podré contestar a las cuestiones que plantea.
Pues mantengo contrato de colaboración con dos entidades financieras y una compañía de seguros. De cuales se trate es independiente.
La cuestión es si esos contratos me hacen responsables del fichero mientras tomo los datos, o en su defecto, me convierten en encargado de tratamiento. En el primer caso me toca a mi notificar los ficheros a la AEPD, en el segundo los notifican los responsables correspondientes y yo sólo me debo comprometer a realizar el correcto tratamiento, y aplicar las medidas de seguridad, teniendo para ello mi documento de seguridad acorde a los ficheros.
En la wed de la Agencia Española de Protección de Datos (AEPD), se pueden consultar públicamente, ademas de los ficheros de titularidad pública, los ficheros de titularidad privada, como es el caso de los ficheros de los bancos u otras entidades privadas.
Bien, en el buscador de la citada página, en la pestaña "ficheros inscritos", le aparecerá la opción de titularidad pública y de titularidad privadad. Pulse titularidad privada. Escriba la denominación social del Banco o del Seguro y su CIF/NI y le aparecerán los ficheros que tiene registrados.
En la fichas que aparecerán podrá visualizar quien es el titular del tratamiento del fichero, el encargado o responsable, finalidad, etc..
Sólo resta por decirle que ante una hipotética infracción a la normativa de protección de datos, la AEPD responsabilizará al titular del fichero.
Le copio el enlace:
http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php