Subcontratación de servicios y LOPD
La subcontratación de servicios por parte de proveedores que acceden a nuestros datos, resulta una realidad cada vez más común en el día a día de las empresas..
Servicios como el cloud computing, en sus diferentes modalidades, pueden implicar que una empresa A, titular de un fichero, contrate con la empresa B un servicio (por ejemplo el uso de un programa) y que esta subcontrate con empresa C parte de este servicio (por ejemplo, el alojamiento del programa y por tanto, de los datos).
En muchas ocasiones, la empresa A, no sólo desconoce el servicio que presta la empresa C, sino que llega a desconocer de su existencia. La legislación en protección de datos, evolucionando con la realidad, ha pasado de una inicial prohibición de la subcontratación, a permitirla con restricciones y condicionantes. Veamos cuáles.
¿Es posible la subcontratación de servicios?
Esta duda ha quedado solucionada desde la aprobación del RLOPD, donde específicamente en el artículo 21, se prevé la posibilidad de que un encargado del tratamiento, subcontrate la totalidad o parte de los servicios contratados por el cliente.
En todo caso, y además de los requisitos que veremos, la AEPD y la propia normativa, conlleva que el cliente (responsable de los datos), realice esfuerzos para conocer toda la cadena de subcontrataciones, por todo ello es recomendable que antes de contratar un servicio que implique el acceso a datos por un proveedor, se realice una auditoría previa del proveedor, lo cual demostrará la diligencia del cliente, en caso de problemas posteriores con la AEPD.
En esta auditoría, deberían tomarse medidas para conocer los siguientes datos: (1) el proveedor accederá a datos personales? (2) tenemos firmado un contrato con el contenido del art. 12 LOPD? (3) ha sido sancionado por la AEPD? (4) donde se alojarán los datos? En la UE? Fuera? (5) Hay subcontratación de parte o la totalidad del servicio? Estas preguntas previas a contratar, pueden ahorrarnos problemas en el futuro.
¿Cuáles son los requisitos para la subcontratación?
Esencialmente da dos posibilidades para la subcontratación de servicios que implique el acceso a datos:
Opción 1: Que el cliente autorice la subcontratación y que el proveedor, contrate con el subcontratado en nombre y por cuenta del cliente.
Opción 2: Si no hay autorización del cliente, la subcontratación será posible si se cumplen los siguientes requisitos: (1) Que en el contrato entre el cliente y el proveedor se especifique el servicio o servicios que podrán ser subcontratados y, si se sabe, la empresa que les prestará (2) que la intervención del subcontratista se ajuste a las instrucciones del cliente y (3) que el proveedor y el subcontratista firmen un contrato con el contenido del art. 12 de la LOPD.
Conocer por lo tanto los casos de subcontratación de servicios por parte de nuestros proveedores, es básico para cumplir la LOPD. En muchas ocasiones, se subontrata servicios con proveedores que pueden no estar en territorio europeo, por lo que los requisitos y salvaguardas a tomar son mayores, siendo imposible tomarlas si no se conoce la intervención de terceras empresas.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!