Volver a página de inicio

Desde un punto de vista normativo, el artículo 28 RGPD (LA LEY 6637/2016) establece de manera general esa obligación a las empresas responsables de tratamiento que deberán elegir «únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado». El artículo 33.3 de la LOPDGDD (LA LEY 19303/2018) establece que «el responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado». Y el artículo 73 establece como infracción grave, por un lado, «la contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas» y por otro lado «encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del RGPD (LA LEY 6637/2016)».

Algunas resoluciones sancionadoras de la AEPD (p.e. PS 00059/2020) y algunas directrices del EDPB nos aportan algún criterio más al respecto, pero aun así las grandes organizaciones siguen enfrentándose a varias preguntas para desarrollar de manera práctica y eficiente sus sistemas de TPC («Third Party Compliance»):

• 1. ¿Hasta dónde debe llegar esa diligencia debida previa a la contratación? ¿Cuándo un proveedor encargado de tratamiento ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas?
• 2. Tras una valoración previa a la contratación y la correspondiente firma del contrato de encargo de tratamiento, ¿qué tipo de controles y/o monitorización durante la vida del contrato debe aplicar el responsable del tratamiento a su proveedor para acreditar una adecuada diligencia debida?

Evidentemente habrá factores muy importantes a considerar como el riesgo asociado al servicio a prestar, la volumetría de datos a la que se accede y su sensibilidad, el posible impacto en derechos para las personas, la duración del contrato, el tipo de plataformas e infraestructuras que se vayan a utilizar para dicha prestación, etc. Hacer un «triaje» previo para ajustar la profundidad de los controles de diligencia a aplicar será fundamental para crear un sistema proporcionado, sensato y que cumpla la norma.

A esta incertidumbre debemos sumarle un dato muy importante. Prácticamente todos los estudios que se publican sobre brechas de seguridad indican que más de la mitad de las brechas que ocurren, se producen en empresas proveedoras (encargados de tratamiento), poniendo el foco en la importancia del control y la necesaria colaboración con la cadena de suministro.

Desde el punto de vista operativo, existen otros aspectos prácticos, a los que deben enfrentarse las compañías para implantar con éxito un sistema de TPC, entre ellos:

• • Cada vez hay más entornos normativos que establecen obligaciones de diligencia debida similares a protección de datos, como p.e. Compliance, IA, Ciberseguridad y Resiliencia, Sostenibilidad, Derechos Humanos, etc.
• • El volumen de terceras partes y proveedores de una gran empresa es enorme, aplicar procesos de diligencia debida a miles de proveedores requiere dotarse de importantes recursos humanos y técnicos.
• • La velocidad y exigencia de los negocios muchas veces se enfrenta a la burocracia y/o lentitud que en ocasiones supone el seguimiento de estos procesos de diligencia debida.
• • No existe un modelo de Gobierno único y muchas veces esas tareas están muy fragmentadas por lo que cada área avanza como puede y en muchos casos el resultado son procesos ineficientes que realmente no mitigan riesgos y no cumplen las normas, la generación de molestias y burocracia a proveedores, etc.
• • Aunque se haya realizado un proceso de diligencia debida previo a la contratación de un tercero, después no se cuenta con los recursos para dar seguimiento al cumplimiento del SLA y la correspondiente monitorización continua que muchas de estas relaciones de negocio requieren.

Como conclusión, existen 3 grandes retos que ayudarán a responsables y encargados de tratamiento a cumplir:

• • Como dice la propia AEPD en las FAQ´s de su página web: «para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD». Este 2025 ya veremos algunos primeros esquemas de certificación, como el propuesto por ISMS Forum denominado «SPET», para favorecer y acelerar el cumplimiento de las obligaciones de diligencia debida entre responsable y encargado.
• • La implantación de sistemas de TPC («Third Party Compliance») evolucionados y automatizados que incorporen la posibilidad de monitorizar el cumplimiento de los proveedores de manera continua durante la vida del contrato de encargo, y no sólo al inicio. Llegar a ese nivel de sofisticación y de volumetría sólo será posible con sistemas automatizados y la incorporación de IA para la evaluación de proveedores y sus evidencias de cumplimiento de la normativa de privacidad.
• • Para proveedores pequeños o medianos será necesario sensibilizarles y formarles sobre la importancia de establecer sus modelos de cumplimiento en privacidad, no solo para cumplir la norma, respetar este derecho y evitar multas, sino también para demostrar su compromiso ante clientes y aprovechar oportunidades de negocio y/o tener una ventaja competitiva. Para ello sería positivo la preparación específica de paquetes documentales que acrediten de manera fehaciente, y acompañado de evidencias, su nivel de compromiso y garantías implantadas en su operación diaria para prestar los determinados servicios a sus clientes «responsables de tratamiento», así como el seguimiento de sus indicaciones.