Contratos de proveedores: claves para cumplir el RGPD

El Reglamento General de Protección de Datos define la figura del encargado del tratamiento como aquella persona física o jurídica que, por cuenta del responsable, trata datos de carácter personal. Según esta definición, todos los proveedores con acceso a datos personales tienen la consideración de encargados del tratamiento, por lo que se deben acordar determinadas garantías en el tratamiento de la información realizado.

Además de ser una obligación legal, es un activo para cualquier empresa que sus proveedores ofrezcan determinadas garantías de protección de datos, pues de nada sirve gastar multitud de recursos en el cumplimiento de esta normativa si después se recurre a proveedores que pongan en riesgo la seguridad de la información. Por esta razón, desde el departamento legal de Microlab hemos realizado un decálogo de las principales garantías que debe ofrecer cualquier encargado del tratamiento a efectos de protección de datos:

1. Escoger correctamente al proveedor

El RGPD contempla como una obligación del responsable la de elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado.

Estas garantías pueden ofrecerse a través de políticas de privacidad, códigos de conducta, aportación del registro de actividades y del análisis de riesgos o contractualmente.

2. Celebrar un contrato entre las partes

En su artículo 28, el RGPD obliga a las empresas a celebrar un contrato u otro acto jurídico vinculante que establezca las obligaciones precisas en la relación entre el responsable del tratamiento y el encargado. En particular, el contrato deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.

3. Determinar la ubicación de los datos

Si los datos personales son tratados fuera de los locales del responsable, es importante que este conozca la ubicación de los servidores donde se alojarán sus datos personales. En caso de que la información se sitúe fuera del Espacio Económico Europeo, deberá ser el propio responsable quien autorice esta transferencia internacional.

4. Subcontratación

El encargado del tratamiento no puede recurrir a otro encargado sin la autorización previa del responsable.

Cuando un proveedor subcontrate todo o parte del servicio que conlleve tratamiento de datos, además de contar con la autorización del responsable deberá imponer a este subencargado, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en el contrato entre el responsable y el encargado

Si el subencargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones de aquel.

5. Derecho a auditar

El proveedor deberá poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el contrato entre las partes. Además, el encargado del tratamiento deberá permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por aquel.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.