¿Sabes si tus proveedores con acceso a datos personales cumplen con la Ley Protección de Datos? ¿Cómo comprobar si cumplen la normativa de protección de datos los proveedores con los que contratamos servicios que implican cederles o comunicarles datos personales?
En este artículo hablamos de:
¿Es necesario comprobar si los proveedores con acceso a datos cumplen con la LOPDGDD y RGPD?
Sí, comprobar si los proveedores con acceso a datos personales cumplen con la LOPDGDD y el RGPD no solo es necesario, sino que también es una obligación del responsable del tratamiento, tal y como establece el artículo 28.1 del RGPD:
Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.
Cuando un proveedor de servicios tiene acceso a los datos personales que maneja la empresa, bien sea para dar cumplimiento al servicio contratado o porque, por el servicio que va a desempeñar, puede tener acceso puntual a esos datos, se convierte en el encargado del tratamiento, ya que el responsable, a través del correspondiente contrato, le encarga un determinado tratamiento de datos, bajo una condiciones y obligaciones.
Y, si bien el contrato de encargo establece lo que puede y no hacer con los datos el encargado, así como otras obligaciones (confidencialidad, medidas de seguridad, subcontratación, etc.), el responsable siempre debe llevar a cabo una comprobación previa de que el encargado cumple con la normativa de protección de datos, siendo una tarea de diligencia debida.
¿Cómo pueden los responsables del tratamiento comprobar que sus proveedores cumplen con la Ley de Protección de Datos?
Un responsable del tratamiento (es decir, la empresa que contrata el servicio con un proveedor que tendrá acceso a datos) tiene diferentes formas para comprobar si el encargado del tratamiento escogido cumple con las obligaciones de la Ley de Protección de Datos. A continuación vemos las más habituales.
Cuestionario de protección de datos para proveedores
Una primera forma de comprobar si el proveedor cumple con la normativa, es enviarle un cuestionario de protección de datos.
Este cuestionario puede tener diferentes preguntas, más o menos específicas, que sirvan para medir el nivel de cumplimiento del proveedor. Preguntas como si el proveedor cuenta con un protocolo de protección de datos, si ha formado a su personal en la materia, si sus empleados han firmado una cláusula de confidencialidad, si tiene delegado de protección datos, etc.
Para «garantizar» que el proveedor responde de manera honesta, en algunos casos se podrán solicitar pruebas de dicho cumplimiento, como, por ejemplo, certificaciones en seguridad de la información o protección de datos, la identidad del DPO, el protocolo, etc. (de manera no muy diferente a como se acredita el cumplimiento de otras obligaciones legales al formalizar un contrato).
La empresa, a través del responsable de protección de datos o su DPO, puede elaborar este cuestionario para proveedores, escogiendo las preguntas que crea más relevantes para cumplir con esta tarea de comprobación respecto a su proveedor.
Otras formas de comprobación
Es probable que no podemos enviar este tipo de cuestionario de protección de datos para proveedores a todos ellos, por ejemplo, a un servicio de email marketing o cualquier servicio de cloud computing. Por ello, existen otras formas de hacer esta comprobación de la diligencia en protección de datos del proveedor.
Así, el RGPD reconoce como acreditación y garantía suficiente del cumplimiento en protección de datos, la adhesión a códigos de conducta, poseer un certificado en protección de datos o tener una certificación en normas internacionales de seguridad de la información.
Este tipo de acreditaciones son de conocimiento público, es decir, el proveedor las hará públicas en su página web, por ejemplo, colocando los sellos pertinentes.
Aparte de esto, el proveedor también puede acreditar su cumplimiento de la normativa, constatando que tiene contratado un servicio de protección de datos con una consultoría especializada.
En definitiva, puesto que el responsable del tratamiento siempre será (como indica su definición) responsable de lo que se haga con los datos cedidos o comunicados al encargado del tratamiento, es fundamental no solo firmar el contrato de protección de datos con él, sino comprobar previamente que este cumple debidamente con el RGPD y la LOPDGDD. Esto es especialmente importante cuando el servicio contratado lo ofrece un proveedor fuera de la UE.