Consulta de privacidad: Podemos facilitar datos personales a la empresa que nos diseña la página web


Josep Aragonés Salvat     28/01/2017

Consulta: En breve empezaremos a trabajar con una empresa que nos está haciendo una página WEB para e-commerce. Para ello le cederemos datos de clientes y por lo tanto no sé si se tiene que registrar de alguna forma esta cesión de datos. Lo que sí que me han pasado es su contrato de confidencialidad, que no se si debemos firmar por qué no hace ninguna referencia a la LOPD.


Las empresas deberían prestar mucha atención al contratar servicios que incluyen el tratamiento de datos personales, ya que como Responsables del tratamiento, cualquier incidencia relativa a la protección de datos, deberán poder demostrar que han actuado siguiendo las disposiciones del Reglamento.

La empresa que nos está haciendo la página web será un Encargado de tratamiento y antes de firmar ningún contrato de servicios, se debería comprobar que ofrece suficientes garantías de protección de datos para:

  • Implementar políticas técnicas y organizativas apropiadas para cumplir el Reglamento.
  • Proteger los derechos de los interesados (clientes).
  • Aplicar las medidas de seguridad que establece el Reglamento (Documento de seguridad).


En el caso que se pueda comprobar que ofrece suficientes garantías se formalizará un contrato de Encargado de tratamiento con las cláusulas obligatorias que dispone el Reglamento.

Para facilitar datos personales a Encargados de tratamiento se deberán cumplir estas dos premisas -Garantías y Contrato- y para demostrarlo se deberá guardar la documentación que lo certifique.

¿Cómo demostrar que se ofrecen suficientes garantías?


1) Comprobar si tienen ficheros inscritos en la AEPD. Si tienen ficheros inscritos, podemos suponer que la empresa está adaptada a la LOPD. Si no tiene ningún fichero inscrito ya delata que no ofrece suficientes garantías, lo cual nos obliga a no facilitarle ningún dato de carácter personal. Para asegurarnos, basta con poner el NIF/CIF en el registro público de la AEPD: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

2) Obtener un certificado de cumplimiento de la LOPD. Es el mejor método para poder demostrar que ofrece suficientes garantías, ya que nuestros recursos no nos permiten saber con exactitud si cumplen o no la normativa vigente en protección de datos. Un certificado de cumplimiento lo deberá emitir el Encargado del tratamiento y contendrá, como mínimo:

  • La identificación y datos de contacto del Encargado de tratamiento y de su representante legal.
  • La normativa jurídica en que se basa el certificado (LOPD, RDLOPD o GDPR).
  • Que cumple con todas las disposiciones que le afecta dicha base jurídica.
  • Que cumple explícitamente con los principios descritos en el artículo 4 de la LOPD o 5 del GDPR.
  • Que garantiza que ha implementado políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad que establece la base jurídica mencionada.

3) Otros mecanismos de certificación aprobados por la Autoridad de control: sellos y marcas de protección de datos, adhesión a códigos de conducta y normas corporativas vinculantes.

¿Cómo redactar un contrato de Encargado de tratamiento?


La relación entre el Responsable y el Encargado del tratamiento se regirá por un contrato, preferiblemente en formato electrónico, donde se especificarán sus respectivas funciones y se disponga:

  • El objeto, duración, naturaleza y finalidad del tratamiento.
  • El tipo de datos personales y categorías de interesados.
  • Las obligaciones y derechos del Responsable del tratamiento.
  • Que se realizará el tratamiento siguiendo las instrucciones documentadas del Responsable del tratamiento, incluyendo las transferencias de datos a terceros países u organizaciones internacionales.
  • Que el personal autorizado para realizar el tratamiento se haya comprometido a respetar la confidencialidad o tengan la obligación legal de confidencialidad.
  • Que se implementarán las medidas de seguridad que establece el Reglamento y cooperará con el Responsable del tratamiento para garantizar su cumplimiento.
  • Que no se podrá subcontratar el servicio a otro Encargado del tratamiento sin la autorización previa y por escrito del Responsable del tratamiento.
  • Que se crearán las condiciones técnicas y organizativas necesarias para permitir al Responsable del tratamiento dar curso a las solicitudes de los derechos de los interesados.
  • Que al término del contrato suprimirá o devolverá, a elección del Responsable del tratamiento, los datos tratados y eliminará las copias existentes, excepto si lo prohíbe la legislación vigente.
  • Que pondrá a disposición del Responsable del tratamiento la información necesaria para demostrar el cumplimiento del contrato, permitiendo inspecciones o auditorías.
  • Que el Encargado del tratamiento será considerado Responsable del tratamiento, y estará sujeto a las normas aplicables como tal, cuando determine por su cuenta los fines y los medios del tratamiento.

¿Debemos firmar el contrato o acuerdo de confidencialidad que nos entregue nuestro proveedor de servicios?


Antes de firmar ningún contrato deberemos leerlo detenidamente para asegurarnos que incorpora las cláusulas antes mencionadas. Si no lo vemos muy claro, lo aconsejable es facilitarselo a nuestro consultor de privacidad para su correcta evaluación. Lo mejor en estos casos es que nosotros facilitemos el contrato de Encargado de tratamiento previamente validado por nuestro consultor/asesor, ya que somos los Responsables y como tales los que estamos obligados a ello.

Se debe distinguir entre un CONTRATO DE SERVICIOS, donde se describen los detalles técnicos y precios del servicio contratado, de un CONTRATO DE ENCARGADO, donde se reflejan las instrucciones para el tratamiento de datos personales. Lo más recomendable es que ambos contratos se formalicen y firmen por separado para que los compromisos adquiridos por ambas partes sean más transparentes y no dé lugar a dudas sobre la finalidad de cada contrato.

Información relacionada