¿Quién es este actor?

El art. 4(10) define a un tercero como “una persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado, el responsable del tratamiento, el encargado del tratamiento y las personas que, bajo la autoridad directa del responsable o del encargado del tratamiento, están autorizadas a tratar datos personales”. Por lo tanto, se definen como terceros los empleados que no están autorizados a tratar datos personales a los que han tenido acceso.

Ejemplo:

Un organismo de investigación, o una cátedra de una universidad, que es el responsable del tratamiento de los datos personales, contrata un servicio de limpieza. El personal de limpieza puede ahora acceder técnicamente a estos datos personales si limpia los escritorios de la organización en los que podrían estar almacenados los datos personales. Aunque el personal de limpieza no trate, ni quiera hacerlo, los datos, puede entrar en contacto con ellos. El servicio de limpieza y su material se consideran un tercero. Para ser considerado controlador, el personal de limpieza en este ejemplo tendría que, por ejemplo, fotografiar o publicar los datos en línea. Esto contaría como tratamiento de datos, por lo que el personal de limpieza se convierte en controlador. La organización, en su posición de responsable del tratamiento, debe aplicar medidas técnicas y organizativas para garantizar que personas no autorizadas -terceros- no puedan acceder a los datos personales. Esto incluye el almacenamiento seguro de los datos de manera que otras entidades, aquí terceros, no puedan acceder a los datos, ni involuntariamente ni a propósito.