Los datos de carácter personal que son objeto de tratamiento sólo podrán ser comunicados a una tercera persona para el cumplimiento de fines relacionados directamente con las funciones legítimas
- del cedente y
- del cesionario
- con el previo consentimiento del interesado.
Este consentimiento no será preciso:
a) Cuando la cesión esté autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes de público acceso.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
- desarrollo,
- cumplimiento
- y control
implique necesariamente la conexión de ese tratamiento con ficheros de terceros. En este caso la comunicación será legítima sólo en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que se deba efectuar tenga por destinatario al
- Defensor del Pueblo,
- el Ministerio Fiscal o
- los Jueces o
- Tribunales o
- el Tribunal de Cuentas,
en el ejercicio de las funciones que tiene atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al
- Defensor del Pueblo
- o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines
- históricos,
- estadísticos o
- científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Será el consentimiento nulo para la comunicación de los datos de carácter personal a un tercero,
- cuando la información que se facilite no permita al interesado conocer la finalidad a que destinarán los datos cuya comunicación se autoriza
- o el tipo de actividad de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal también tiene un carácter de revocable.
A quien se comuniquen los datos de carácter personal se obliga a cumplir la ley en esta materia.
Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
En cuanto al acceso a los datos por cuenta de terceros, hay que decir que no se considera comunicación de datos el acceso de un tercero a los datos cuando el acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
La realización de tratamientos por cuenta de terceros estará regulada en un contrato que deberá constar
- por escrito
- o en alguna otra forma que permita acreditar
su
- celebración
- y contenido,
estableciéndose expresamente que,
- únicamente, el encargado del tratamiento, tratará los datos conforme a las instrucciones del responsable del tratamiento,
- que no los aplicará
- o utilizará con fin distinto al que figure en dicho contrato,
- ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, deberán ser destruidos los datos de carácter personal o devueltos al responsable del tratamiento, lo mismo que cualquier
- soporte
- o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos
- a otra finalidad,
- los comunique
- o los utilice
incumpliendo las estipulaciones del contrato, también será considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.