Subcontractació de serveis i LOPD
La subcontractació de serveis per part de proveïdors que accedeixen a les nostres dades, resulta una realitat cada vegada més comuna en el dia a dia de les empreses.
Serveis com el cloud computing, en les seves diferents modalitats, poden implicar que una empresa A, titular d’un fitxer, contracti amb l’empresa B un servei (per exemple l’ús d’un programa) i que aquesta subcontracti amb l’empresa C part d’aquest servei (per exemple, l’allotjament del programa i per tant, de les dades).
En moltes ocasions, l’empresa A, no només desconeix el servei que presta l’empresa C, sinó que arriba a desconèixer de la seva existència. La legislació en protecció de dades, evolucionant amb la realitat, ha passat d’una inicial prohibició de la subcontractació, a permetre-la amb restriccions i condicionants. Vegem quins.
És possible la subcontractació de serveis?
Aquest dubte ha quedat solucionada des de l’aprovació del RLOPD, on específicament en l’article 21, es preveu la possibilitat que un encarregat del tractament, subcontracti la totalitat o part dels serveis contractats pel client.
En tot cas, i a més dels requisits que veurem, l’AEPD i la pròpia normativa, comporta que el client (responsable de les dades), realitzi esforços per conèixer tota la cadena de subcontractacions, per tot això és recomanable que abans de contractar un servei que impliqui l’accés a dades per un proveïdor, es realitzi una auditoria prèvia del proveïdor, la qual cosa demostrarà la diligència del client, en cas de problemes posteriors amb l’AEPD.
En aquesta auditoria, haurien de prendre’s mesurades per conèixer les següents dades: (1) el proveïdor accedirà a dades personals? (2) tenim signat un contracte amb el contingut de l’art. 12 LOPD? (3) ha estat sancionat per l’AEPD? (4) on s’allotjaran les dades? A la UE? Fora? (5) Hi ha subcontractació de part o la totalitat del servei? Aquestes preguntes prèvies a contractar, poden estalviar-nos problemes en el futur.
Quins són els requisits per a la subcontractació?
Essencialment dóna dues possibilitats per a la subcontractació de serveis que impliqui l’accés a dades:
Opció 1: Que el client autoritzi la subcontració i que el proveïdor, contracti amb el subcontractat en nom i per compte del client.
Opció 2: Si no hi ha autorització del client, la subcontractació serà possible si es compleixen els següents requisits: (1) Que en el contracte entre el client i el proveïdor s’especifiqui el servei o serveis que podran ser subcontractats i, si se sap, l’empresa que els prestarà (2) Que la intervenció del subcontractista s’ajusti a les instruccions del client i (3) que el proveïdor i el subcontractista signin un contracte amb el contingut de l’art. 12 de la LOPD.
Conèixer per tant els casos de subcontractació de serveis per part dels nostres proveïdors, és bàsic per complir la LOPD. En moltes ocasions, es subontrata serveis amb proveïdors que poden no estar en territori europeu, per la qual cosa els requisits i salvaguardes a prendre són majors, sent impossible prendre-les si no es coneix la intervenció de terceres empreses.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!