En el ámbito de la protección de datos personales, los proveedores que prestan servicios a una empresa o entidad pueden tener acceso a información de carácter personal, por ejemplo, datos de empleados, clientes, usuarios o proveedores. En estos casos, dichos proveedores adquieren la condición de encargados del tratamiento, según el artículo 28 del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
El responsable del tratamiento, es decir, la empresa o entidad que decide cómo y con qué fines se tratan los datos tiene la obligación de elegir únicamente proveedores que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, que aseguren que el tratamiento se realiza conforme al RGPD. Dichas garantías deben acreditarse, entre otros medios, mediante certificaciones, políticas de seguridad, auditorías o referencias contractuales.
Este proceso, conocido como evaluación de proveedores o evaluación de encargados del tratamiento, es una parte esencial del principio de responsabilidad proactiva (art. 5.2 y 24 del RGPD). No basta con confiar en la buena fe del proveedor: el responsable debe poder demostrar documentalmente que ha comprobado la idoneidad del encargado antes de cederle acceso a los datos personales.
Además, es indispensable formalizar un contrato de encargo de tratamiento, conforme al artículo 28 del RGPD, en el que se establezcan con precisión las instrucciones del responsable, las medidas de seguridad que debe aplicar el proveedor, las obligaciones de confidencialidad, el régimen de subcontratación y el destino final de los datos una vez concluida la prestación del servicio.
Ejemplos prácticos:
Restaurante y plataforma de reservas: Si un restaurante contrata una plataforma online para gestionar sus reservas, debe asegurarse de que la empresa tecnológica cumple con la normativa de protección de datos, revisando su política de privacidad, las transferencias internacionales y el alojamiento de los servidores. De lo contrario, los datos de sus clientes podrían terminar en manos de terceros o utilizarse con fines comerciales distintos a los previstos.
Ayuntamiento y servicio informático externo: Si un ayuntamiento contrata a un informático autónomo para gestionar sus sistemas y este no realiza copias de seguridad ni aplica medidas de seguridad adecuadas, en caso de incidente o requerimiento de la Agencia Española de Protección de Datos (AEPD), será el ayuntamiento como responsable del tratamiento quien deba acreditar qué controles y medidas de protección ha implantado.
Conclusión y recomendaciones:
Realizar una evaluación de proveedores no solo es una exigencia legal, sino también una medida preventiva que protege a la organización frente a sanciones, brechas de seguridad y pérdida de confianza por parte de sus clientes.
Desde nuestra empresa elaboramos un protocolo de cumplimiento que te permitirá verificar de forma sistemática que todos tus proveedores cumplen con las obligaciones en materia de privacidad, garantizando así la trazabilidad y seguridad de los tratamientos de datos personales.
Con este protocolo podrás:
Clasificar a los proveedores según el nivel de riesgo que implica su acceso a datos personales.
Evaluar y documentar sus garantías técnicas y organizativas.
Mantener actualizados los contratos y auditorías de cumplimiento.
Minimizar riesgos legales y reputacionales derivados del incumplimiento de la normativa.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.