Cuestionario RGPD para proveedores
En el proceso de adaptación o implementación del RGPD en las empresas, deben identificarse los proveedores con acceso a datos (conocidos como encargados del tratamiento) y hacerles un cuestionario RGPD. En este proceso de subcontratación, los responsables del tratamiento están sujetos al texto del art. 28.1 que establece que sólo “elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas”.
¿Cómo cumplir con este deber de diligencia de manera adecuada? El envío de un cuestionario al proveedor, ¿es suficiente? Y si resulta imposible que el proveedor responda un cuestionario ¿qué se tiene que hacer? Vayamos por partes.
En las relaciones entre el responsable y encargados del tratamiento, cada vez es más común que los primeros remitan a los segundos un cuestionario con un listado de preguntas, a efectos de comprobar el nivel de diligencia del proveedor en su cumplimiento del RGPD.
Existen una gran cantidad de casuísticas pero las preguntas más frecuentes suelen ser:
- Si el proveedor ha realizado una formación adecuada a su personal. Recordamos que ya tratamos este tema en un post de hace unas semanas.
- Si los empleados han firmado una declaración de confidencialidad.
- Si el proveedor subcontrata parte o la totalidad del servicio.
- Si el proveedor ha nombrado un Delegado de Protección de Datos.
- Si el proveedor ha implementado un protocolo de detección y notificación de incidencias de seguridad. Ver aquí la información de la AEPD.
- Si el proveedor dispone de algún tipo de certificación en materia de seguridad de la información.
Como decíamos, el tipo y cantidad de las preguntas puede ser muy variopinto, pero aquí la cuestión es si con el envío y cumplimentación de este cuestionario por parte del proveedor, el responsable del tratamiento puede estar tranquilo.
Ante esta pregunta, podemos afirmar que ciertamente el envío de este cuestionario demuestra un grado inicial importante de concienciación del responsable del tratamiento y que, por tanto, va en la línea de asegurarse que el proveedor en cuestión cumple con el RGPD. Sin embargo, hay dos cuestiones importantes en este punto:
- En muchas ocasiones, no se solicita evidencia alguna sobre las respuestas dadas por el proveedor y el responsable simplemente se limita a creerse las respuestas del cuestionario. Ésta, de entrada, no es una buena práctica y es siempre recomendable que junto a la respuesta, se solicite al proveedor que aporte evidencias o pruebas de que una obligación concreta se está efectivamente llevando a cabo. Por ejemplo: preguntar si se firman declaraciones de confidencialidad, está bien pero lo correcto es solicitar no solamente el modelo sino comprobar también que efectivamente se está firmando. Y así con muchos de los aspectos relacionados con el cuestionario: como, por ejemplo, acreditar la formación si se ha respondido que sí se realiza o, en caso de subcontratación, que se aporten los contratos con subcontratistas.
- Por otra parte, la relación entre un responsable y un encargado del tratamiento puede ser algo vivo y que pueda modificarse a lo largo del tiempo. Es por este motivo que el hecho de cumplimentar un cuestionario inicial puede valer para ese momento, pero sus respuestas también pueden quedar fuera de vigencia de manera muy rápida. Por eso, es recomendable que estas acciones de comprobación del grado de cumplimiento de los proveedores se realicen de manera periódica.
Y si el proveedor no responde nunca un cuestionario RGPD, ¿qué?
La contratación de servicios que implican el acceso a datos, en muchas ocasiones, se realiza con proveedores cloud que nunca atenderán a una petición para rellenar un cuestionario.
¿Cómo se concreta el nivel de diligencia en estos casos? Pues bien, en estos casos, debemos atender a la información pública del proveedor. Sin duda, las condiciones del servicio son un indicador para ver si atienden a sus obligaciones como encargados del tratamiento.
También debemos guiarnos, en estos casos, por las certificaciones o normas internacionales de seguridad que pueda tener el proveedor y, como en el anterior caso, activar revisiones periódicas a fin que estas condiciones o certificaciones no se modifiquen o caduquen.
En conclusión, y como hemos señalado en muchas ocasiones, la subcontratación de servicios con terceros es una tendencia que difícilmente se detendrá. Desde los pequeños autónomos o profesionales a empresas más grandes, la casuística de proveedores con acceso a datos, no para de crecer: uso de un CRM o ERP en la nube, aplicaciones de control horario de trabajadores, procesos de selección de personal, plataformas de email marketing, etc.
Identificar e inventariar estos proveedores y asegurarnos que cumplen el RGPD durante toda la vigencia de la relación contractual con ellos, es uno de los retos más importantes para las empresas que quieran cumplir con la normativa de protección de datos.
Si quieres más información sobre el cuestionario RGPD y lo quieres implementar para tus proveedores, ¡contacta con nosotros!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.