Logotipo Servicios Integrales Para Pymes
Cita online
,

Encargados del tratamiento y cadena de proveedores: contratos art. 28, subencargados y control

El mayor riesgo en pymes: “tercerizar” sin gobernar

Hoy una pyme puede tratar datos personales con más de diez proveedores sin darse cuenta: hosting, email, CRM, gestoría, soporte, almacenamiento, videollamadas, marketing, ciberseguridad, copias, firma electrónica. Externalizar es normal; lo peligroso es externalizar sin control. El RGPD no prohíbe usar proveedores: exige que el responsable elija encargados con garantías y formalice un marco claro (art. 28), manteniendo la responsabilidad sobre el tratamiento.

La pregunta práctica no es “¿tengo contratos?”, sino: ¿sé qué hace cada proveedor con mis datos, bajo qué instrucciones, con qué subencargados, con qué medidas y cómo responde ante incidentes y derechos? Ahí se decide la diferencia entre cumplimiento real y cumplimiento aparente.

Beneficios de gobernar encargados (art. 28) de forma madura

  • Reducción de brechas: menos accesos innecesarios y mejores controles.
  • Respuesta más rápida: derechos y brechas se gestionan sin improvisar.
  • Menos fricción comercial: clientes exigentes piden evidencias de control de proveedores.
  • Mejor seguridad y continuidad: roles claros, responsabilidades claras, escalado claro.

Riesgos típicos (privacidad y vulnerabilidad)

  1. Proveedor como “caja negra”: no se sabe dónde aloja, quién accede, ni qué subproveedores utiliza.
  2. Contratos genéricos: cláusulas sin aterrizar en el servicio real (o directamente sin encargo).
  3. Subencargados no controlados: cadena de tratamiento que crece sin conocimiento del responsable.
  4. Accesos remotos sin límites: soporte con credenciales compartidas, sin MFA, sin registros.
  5. Incidentes mal gestionados: proveedor tarda en informar, o no entrega evidencias suficientes.
  6. Derechos bloqueados: no hay procedimiento para supresión/portabilidad en sistemas del proveedor.
  7. Conservación y borrado opacos: copias, backups y replicaciones prolongan plazos sin criterio.

RGPD: qué exige el art. 28 en lenguaje operativo

El art. 28 RGPD obliga a que el encargado:

  • trate datos solo bajo instrucciones del responsable,
  • aplique medidas de seguridad adecuadas (art. 32),
  • asista en el cumplimiento de derechos,
  • ayude en gestión de brechas y, cuando proceda, en EIPD,
  • garantice condiciones sobre subencargados,
  • permita auditorías o evidencias de cumplimiento,
  • y devuelva o suprima datos al finalizar el servicio (según instrucciones).

Esto no es “papeleo”: es gobernanza. Si no se define, en un incidente nadie sabe quién hace qué.

Roles: encargado, responsable o corresponsable

Un error frecuente es asumir que “todo proveedor es encargado”. No siempre. Si un tercero decide finalidades y medios esenciales, puede actuar como responsable independiente o corresponsable. Esto cambia obligaciones: transparencia, bases legales y reparto de responsabilidades. Por eso, antes del contrato, conviene definir el rol real según el servicio.

Seguridad vs privacidad: el dilema en proveedores

Para seguridad, es tentador conceder accesos amplios a proveedores (“que entren cuando quieran y lo arreglen”). Para privacidad, eso es un riesgo: accesos innecesarios aumentan exposición y dificultan trazabilidad. El enfoque proporcional:

  • accesos mínimos y temporales cuando sea posible,
  • cuentas nominativas, MFA y registros,
  • canal de soporte con control de cambios,
  • y limitación de exportaciones.

¿EIPD?

El uso de encargados no obliga automáticamente a EIPD. Pero si el tratamiento es de alto riesgo (art. 35), el rol del proveedor es crítico: debe existir asistencia y garantías. En la práctica, un proveedor puede elevar el riesgo si introduce tecnologías intrusivas, procesamiento a gran escala o flujos complejos. En esos casos, la EIPD debe contemplar a la cadena de tratamiento como parte del análisis.

Proporcionalidad: cómo ordenar proveedores sin “ahogar” a la pyme

1) Inventario de proveedores y tratamientos

  • Qué proveedor, qué servicio, qué datos, qué finalidad, qué usuarios internos acceden.

2) Clasificación por criticidad

  • Críticos: correo, CRM, hosting, almacenamiento, soporte con acceso a datos.
  • Medios: herramientas con datos limitados o pseudonimizados.
  • Bajos: servicios sin datos personales o con datos mínimos.

3) Marco contractual y evidencias

  • Encargo (art. 28) adaptado al servicio.
  • Subencargados: información y control.
  • Medidas técnicas: MFA, cifrado cuando proceda, control de accesos.
  • Incidentes: tiempos, canales, evidencias.
  • Fin de servicio: devolución/borrado y confirmaciones.

4) Procedimientos operativos

  • Gestión de altas/bajas de accesos de proveedores.
  • Revisiones periódicas (mínimas) de subencargados y cambios de servicio.
  • Flujo para ejercicio de derechos.

Recuerda

La mayoría de los incidentes graves se agravan porque la cadena de proveedores no está gobernada. El art. 28 no es una formalidad: es un sistema de control que protege a las personas y protege al negocio.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones