El Reglamento General de Protección de Datos (RGPD o GDPR) establece una obligación que afecta a los proveedores con acceso a datos (los denominados “encargados de tratamiento”) y a su selección y evaluación. Ello obliga a quien contrata a dicho proveedor (la entidad Responsable de tratamiento) a elegir a un proveedor que desde el punto de vista de la seguridad y la privacidad sea solvente y, además, a exigirle no sólo que cumpla con lo dispuesto en la ley sino a hacerlo de forma continua.
Esta obligación se ha visto ratificada con una reciente sentencia de la Audiencia Nacional que, confirmando lo que en su día dijo la Agencia Española de Protección de Datos al respecto, incidía en la importancia no sólo de seleccionar bien a los encargados de tratamiento sino en la necesidad de evaluarles periódicamente y comprobar que las medidas organizativas y técnicas iniciales son suficientes. En última instancia responde el Responsable de tratamiento, es decir, la entidad que ha contratado a dicho proveedor.
La decisión indicada nos resulta especialmente interesante porque interpreta que la obligación de seleccionar bien y evaluar a los encargados de tratamiento no se agota en el momento inicial de la contratación del proveedor, sino que obliga a evaluar durante la ejecución del contrato si las garantías ofrecidas inicialmente son suficientes.
Este tipo de resoluciones nos sirven de ejemplo de la importancia de establecer procesos de mejora y evaluación continuos de los proveedores. No se pueden echar balones fuera ni hacer dejación de responsabilidades que corresponden a quien decide sobre el fin de los datos. A su vez, cuando nuestra empresa es “encargada de tratamiento” de otros, nuestra empresa será sometida a revisiones periódicas y tendrá que acreditar documentalmente, con evidencias e incluso con auditorías, que los datos de sus clientes están protegidos y seguros
Como mensaje para cualquier empresa resumiríamos:
- La empresa es responsable de lo que hace su encargado de tratamiento y los subencargados. El RGPD exige una constante supervisión de que las medidas que dicen tener son suficientes.
- La empresa es responsable de proporcionar instrucciones precisas, en especial cuando es conocedora de que existen tratamientos de datos en otros países o que se reciben quejas de los usuarios. No basta con echarle la culpa al proveedor.
- Tan importante como los contratos y las evaluaciones iniciales por lo tanto, son el seguimiento, el control y la solicitud de rendición de cuentas.
Estas evaluaciones de cumplimiento de la normativa de protección de datos pueden hacerse conjuntamente con las que se realizan en materia de seguridad siguiendo los estándares ISO o ENS, así como otras normas que obligan a supervisar a los proveedores desde aspectos diversos.
