Skip to main content
Qüestionari RGPD

Qüestionari RGPD per a proveïdors

En el procés d’adaptació o implementació de les empreses a l’RGPD, cal identificar els proveïdors amb accés a dades (coneguts com a encarregats del tractament) i fer-los un qüestionari RGPD. En aquest procés de subcontractació, els responsables del tractament estan subjectes al text de l’art. 28.1 que estableix que només “triarà únicament un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiades”. 

Com es pot complir amb aquest deure de diligència de manera adequada? L’enviament, com hem dit, d’un qüestionari RGPD al proveïdor és suficient? I si és impossible que el proveïdor respongui un qüestionari, què s’ha de fer? Anem per parts:

En les relacions entre el responsable i encarregats del tractament, cada cop és més comú que els primers remetin als segons un qüestionari amb un llistat de preguntes, a efectes de comprovar el nivell de diligència del proveïdor en el compliment de l’RGPD. 

Hi ha una gran quantitat de casuístiques, però les preguntes més freqüents solen ser: 

  • Si el proveïdor ha realitzat una formació adequada al personal. Recordem que ja vam tractar aquest tema en un post de fa unes setmanes. 
  • Si els empleats han signat una declaració de confidencialitat. 
  • Si el proveïdor subcontracta part o la totalitat del servei. 
  • Si el proveïdor ha nomenat un delegat de protecció de dades. 
  • Si el proveïdor ha implementat un protocol de detecció i de notificació d’incidències de seguretat. Veure aquí la informació de l’AEPD. 
  • Si el proveïdor té algun tipus de certificació en matèria de seguretat de la informació. 

Com dèiem, el tipus i la quantitat de les preguntes pot ser molt variat, però aquí la qüestió és si amb l’enviament i l’emplenament d’aquest qüestionari per part del proveïdor, el responsable del tractament pot estar tranquil. 

Davant d’aquesta pregunta, podem afirmar que, certament, l’enviament d’aquest qüestionari demostra un grau inicial important de conscienciació del responsable del tractament i que, per tant, va en la línia d’assegurar-se que el proveïdor en qüestió compleix l’RGPD.

Tot i això, hi ha dues qüestions importants en aquest punt: 

  • En moltes ocasions, no se sol·licita cap evidència sobre les respostes donades pel proveïdor i el responsable simplement es limita a creure’s les respostes del qüestionari. Aquesta, d’entrada, no és una bona pràctica i sempre és recomanable que, juntament amb la resposta, se sol·liciti al proveïdor que aporti evidències o proves de que una obligació concreta s’està duent a terme efectivament. Per exemple: preguntar si se signen declaracions de confidencialitat està bé però el correcte és sol·licitar, no només el model, sinó comprovar també que efectivament s’està signant. I així amb molts dels aspectes relacionats amb el qüestionari: com, per exemple, acreditar la formació (si s’ha respost que sí que es realitza) o, en cas de subcontractació, que s’aportin els contractes amb subcontractistes. 
  • D’altra banda, la relació entre un responsable i un encarregat del tractament pot ser viva i que aquesta es pugui modificar al llarg del temps. És, per aquest motiu, que el fet d’omplenar un qüestionari inicial pot valer per a aquest moment, però les respostes també poden quedar fora de vigència de manera molt ràpida. Per això, és recomanable que aquestes accions de comprovació del grau de compliment dels proveïdors es facin de manera periòdica. 

I si el proveïdor no respon mai un qüestionari RGPD, què? 

La contractació de serveis que impliquen l’accés a dades, moltes vegades, es realitza amb proveïdors cloud que mai no atendran una petició per omplenar un qüestionari. 

Com es concreta el nivell de diligència en aquests casos? Doncs bé, en aquests casos, cal atendre la informació pública del proveïdor. Sens dubte, les condicions del servei són un indicador per veure si atenen les seves obligacions com a encarregats del tractament. 

També ens hem de guiar, en aquests casos, per les certificacions o normes internacionals de seguretat que pugui tenir el proveïdor i, com en l’anterior cas, activar revisions periòdiques per tal de que aquestes condicions o certificacions no es modifiquin o es caduquin. 

En conclusió, i com hem assenyalat moltes vegades, la subcontractació de serveis amb tercers és una tendència que difícilment s’aturarà. Des dels petits autònoms o professionals a empreses més grans, la casuística de proveïdors amb accés a dades, no para de créixer: ús d’un CRM o ERP al núvol, aplicacions de control horari de treballadors, processos de selecció de personal, plataformes de email màrqueting, etc.  

Identificar i inventariar aquests proveïdors i assegurar-nos que compleixen amb l’RGPD durant tota la vigència de la relació contractual amb ells és un dels reptes més importants per a les empreses que vulguin complir la normativa de protecció de dades. 

Si vols saber més sobre aquest qüestionari RGPD i el vols implementar als teus proveïdors, posa’t en contacte amb nosaltres!


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Boletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.

    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.

    Més informació
    Consulta la Política de Privacitat.