Sistema de reservas de tercero y la LOPD

asturver · #1 (**permalink**) 24/11/2011, 11:48

Hola, estoy intentando integrar un sistema de reservas de un tercero (avaibook) en mi sitio web para poder llevar por mi cuenta la gestión de reservas de establecimientos y casas rurales.
Para poder montar el sistema de reservas al completo en mi sitio web, se que tengo que contar con la LOPD, y para hacerlo se me plantean las siguientes dudas:
Se supone que los datos personales son obtenidos mediante formularios a los que se accede mediante un link o enlace situado en mi sitio web, pero que se encuentran ubicados en otra dirección web (perteneciente a quien me proporciona los formularios): ¿lo tendría que reflejar o simplemente tengo que indicar el lugar de donde yo extraigo los datos personales (que es el sitio web que me cede el sistema de reservas para integrarlo en mi web)?
Si lo tuviera que reflejar en el documento de seguridad y la inscripción del fichero: ¿Tendría que incluir al tercero que me cede los formularios como encargado del fichero, como responsable del fichero o como tercero al que cedo los datos?

La verdad es que tengo un lio bastante grande, si alguien sabe como hacerlo o ha pasado por la misma situación y ha encontrado una solución, agradecería mucho su ayuda.

Por cierto, la entidad o empresa tercera que me cede el sistema de reservas es de España y cumple con la LOPD a la perfección, por lo que no hay transferencia de datos internacional ni nada por el estilo.

Un Saludo.

jamf · #2 (**permalink**) 25/11/2011, 02:01

Por partes:

1. Inscripción del fichero: Tienes que incluir los datos del proveedor del sistema de reservas en el apartado de "Encargado de Tratamiento"

2. Política de Privacidad: Debe cumplir los requisitos del artículo 5 de la LOPD pero no necesitas ninguna mención especial

3. Documento de Seguridad: Debes mencionar la existencia de ese encargado de tratamiento y detallar los tratamientos que realiza. Art. 82 RD 1720/2007

4. Contrato: Debes tener un contrato de encargado de tratamiento que cumpla con los requisitos del art. 12 de la LOPD. Te valdría unas condiciones electrónicas de contratación con el proveedor de reservas siempre que esas condiciones tengan de forma expresa las menciones que requiere el art. 12

www.techlegal.es
Expertos en Derecho Tecnológico

asturver · #3 (**permalink**) 25/11/2011, 04:14

Muchas gracias!!! entonces lo debo incluir como encargado de tratamiento, ok.
Una cosa: en caso de que no haya contrato con el encargado de tratamiento, se considera una cesión de datos a un tercero no? entonces tambien se podría hacer si no hay contrato? es que hago uso de dos sistemas de formularios y reservas de terceros y te explico:

- Uno es de España, me ha enviado un contrato y tengo todos sus datos (por lo que este no tengo problemas para incluirlo).

- El otro es de Estados Unidos (este es el que me causa problemas), tengo todos sus datos pero no tengo contrato, aunque en su sitio web tienen unas condiciones generales en las que se comprometen a mantener la seguridad y la privacidad de los datos personales obtenidos mediante sus formularios ¿A este ultimo lo podría incluir como encargado del tratamiento, aunque no haya contrato para incluir en el documento de seguridad? También pido autorización inequívoca del usuario antes de ceder sus datos a este proveedor de formularios (pido la aceptación inequívoca para no tener que pedir permiso al director de la LOPD, ya que Estados Unidos no es un país incluido en la lista de países seguros del Espacio Económico Europeo).

Muchas gracias por tu interés y por la ayuda ofrecida. Espero tu respuesta.
Un Saludo!!!

jamf · #4 (**permalink**) 29/11/2011, 01:14

Hasta la entrada en vigor de la Ley de Economía Sostenible (Ley Sinde) se consideraba que si no tenías el contrato de encargado de tratamiento era una cesión, pero esta norma ha introducido una sanción específica por no disponer de este contrato con lo cual entiendo que por el criterio de especificidad aplicarían esta sanción, en vez de convertirlo en una cesión como hacían antes.

En cuanto al proveedor de reservas americano, si no está acogido al acuerdo de puerto seguro, solamente tienes dos opciones o pides autorización al Director de la Agencia o pides permiso a los usuarios de la web. En teoría no puedes incluirlo en el Documento de Seguridad si no tienes el contrato firmado (o acuerdo electrónico) pero por una cuestión básica, la Ley no te permite que le des acceso a los datos hasta que no tengas ese acuerdo firmado, es decir no puede ser encargado de tratamiento y por tanto figurar en el Documento de Seguridad hasta que no tengas el acuerdo.

www.techlegal.es
Expertos en Derecho tecnológico

asturver · #5 (**permalink**) 01/12/2011, 13:03

Ok, muchas gracias, no sabía lo de la ley Sinde...
Creo que estoy arreglándolo ya todo, la AEPD me ha enviado una carta que he tenido que devolver junto a la información de la entidad de Estados Unidos y los formularios que pienso utilizar impresos en papel, para que puedan comprobar los datos que se recaban y la autorización inequívoca del usuario, aunque ya me ha quedado claro que no los debo incluir en el documento de seguridad como encargados de tratamiento, solamente deben reflejarse como terceros a los que cedo datos personales, ellos los almacenan en su sitio web, y luego yo los recabo para utilizarlos.

A la entidad de España que me cede el sistema de reservas los he incluido como encargados de tratamiento en el documento de seguridad y he adjuntado el contrato que acepté con ellos para usar su sistema de reservas, creo que así está todo correcto ¿no?

Muchas gracias por la ayuda prestada y un Saludo!!!