Cuando terceros accedan a datos personales durante la prestación de un servicio.
Todo organismo, institución, empresa o profesional que almacene o trate datos de carácter personal, que los haga susceptibles de tratamiento, tendrá que cumplir con los requisitos exigidos por la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), pudiendo ser sancionada en caso de incumplirlos. En este sentido también deberán cumplirse determinadas formalidades en el caso de que terceras empresas distintas del titular del fichero traten datos de carácter personal.
Además del responsable del fichero o titular, existe la figura del encargado del tratamiento que es aquella persona física o jurídica, autoridad pública o cualquier otra entidad que trate datos personales por cuenta del responsable del fichero, es decir, que tenga acceso a los datos como consecuencia de ofrecer un servicio sin que en ningún momento se ceda la titularidad del fichero.
El tratamiento de datos por parte de terceros implica que el responsable del fichero o tratamiento encarga a una tercera persona denominada encargado del tratamiento, el mantenimiento, gestión o conservación de sus datos. En virtud de lo establecido en el Artículo 12 de la LOPD es necesario que esté regulada en un contrato que constará por escrito o en cualquier otra forma que acredite su celebración y contenido y que una vez que se haya cumplido el tratamiento de datos éstos sean destruidos o devueltos al responsable del fichero.