Skip to main content
GDPR compliance and provider control

Cumplimiento RGPD y control de proveedores en 4 pasos

La contratación de proveedores que pueden tener acceso a los datos personales propiedad de nuestra empresa es algo innegable y que, con el tiempo, se ha ido consolidando y ampliando a cualquier tipo de organización, de las más pequeñas a las más grandes. Por lo tanto, se tienen que seguir unos pasos para el cumplimiento del RGPD y el control de proveedores.  

En nuestro post de abril ya incidimos en la diferenciación entre este acceso a los datos y el supuesto de la cesión de datos a terceros (nada que ver uno con otro). Sin embargo, hoy queremos ampliar y daros las claves para entender qué hacer para cumplir con el RGPD cuando un proveedor tiene acceso, por ejemplo, a los datos de nuestros clientes, trabajadores, leads, entre otros. Siguiendo estos pasos y haciendo estas preguntas, podrás dar cumplimiento al RGPD y al control de proveedores. 

Antes, algunos de los casos habituales de proveedores con acceso a datos suelen ser: 

  • Aplicativos CRM o ERP alojados en la nube. 
  • Plataformas para el envío y gestión de tus campañas de email marketing. 
  • Copias de seguridad externas. 
  • Aplicaciones o programas de control horario de los trabajadores. 
  • Servicios de mantenimiento informático. 
  • Gestorías laborales. 

Vamos pues con los 4 pasos a seguir para que el acceso a los datos que dan estos proveedores, entre otros, cumpla el RGPD: 

  1. Identifica bien a qué datos les das acceso y con qué finalidad. 

Uno de tus labores esenciales como responsable de los datos (responsable del tratamiento), consiste en asegurar que estos proveedores (encargados del tratamiento), acceden sólo a los datos necesarios para prestar el servicio y que la finalidad u objetivo de ese acceso en los datos esté claramente identificado. Los proveedores nunca podrán acceder a más datos de los que necesitan para prestar el servicio ni extralimitarse en la finalidad por la que se les ha dado acceso a los datos. 

  1. Comprueba la ubicación del proveedor y, muy importante, si éste subcontrata parte del servicio contratado 

Muy importante. En el proceso de revisión del cumplimiento del RGPD por parte del proveedor, debes asegurarte desde dónde presta el servicio y por tanto, “a dónde” irán los datos personales a los que tienen acceso. La contratación de proveedores fuera de la UE tiene requisitos especiales (ver punto 3). 

Asimismo, asegúrate si el proveedor escogido subcontrata parte o la totalidad de sus servicios, y de nuevo, donde están ubicados estos subcontratistas. Como responsable del tratamiento debes conocer a los subcontratistas y además, autorizar la subcontratación por contrato. 

  1. Proveedores fuera de la UE. 

La globalización en la prestación de servicios, sobre todo digitales, ha hecho que éstos puedan prestarse prácticamente, desde cualquier lugar del mundo. Lo que supone una facilidad para los negocios, puede suponer a la vez un reto para el cumplimiento del RGPD, ya que puede implicar, en la práctica, que los datos personales se alojen fuera de la UE. Este hecho, que no está prohibido, sí implica que será necesario tener o cumplir unos requerimientos especiales. De nuevo, todo pasa por conocer dónde está ubicado este proveedor, y en función de esto: 

  1. Si está ubicado en un territorio considerado adecuado por la Comisión Europea, tratar al proveedor como si estuviera establecido dentro de la UE. 
  1. En caso contrario, lo habitual será hacer firmar al proveedor uno de los modelos de contrato elaborados por la UE a tal fin. 

4. Garantizar que aplique medidas de seguridad. 

La aplicación de medidas de seguridad adecuadas al tipo de datos tratados es una de las obligaciones básicas de los encargados del tratamiento. En este sentido, suele ser una práctica común, que los responsables del tratamiento hagan completar a los proveedores cuestionarios para verificar su cumplimiento normativo.

Ésta es una práctica extendida y útil en este sentido. Entre las medidas se incluye, desde el deber de comunicar incidencias de seguridad, mantener actualizado un registro de actividades o la necesidad de realizar un análisis de riesgos adecuado a los datos tratados. Es necesario adaptar las medidas a cada tipo de proveedor y tratamiento. 

Recomendación final:

Por último y no menos importante: es necesario que compruebes que la relación con el proveedor quede regulada en un contrato por escrito o en unas condiciones, donde se incluyan, al menos, los cuatro puntos detallados más arriba. 

La ausencia de contrato, además de suponer un incumplimiento del RGPD, es un claro riesgo por ambas partes a la hora de acotar claramente las responsabilidades de cada una en el tratamiento de los datos personales. 

Si necesitas más información sobre este o cualquier otro tema, ¡no dudes en contactarnos!:


    Información sobre protección de datos

    Denominación social
    LEGAL IT GLOBAL 2017, SLP
    Finalidad
    Prestar el servicio.
    Envío del Boletín informativo.
    Legitimización
    Cumplimiento de la prestación del servicio.
    Consentimiento.
    Destinatarios
    Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Derechos
    Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.

    Más información
    Consulta la Política de Privacidad.