Encargados de tratamiento: donde el cumplimiento suele romperse
En pymes, gran parte del tratamiento de datos sucede “fuera”: gestoría, hosting, email, CRM, soporte IT, plataformas de marketing, videoconferencias, almacenamiento en nube. Eso significa que la empresa comparte riesgo con terceros. El RGPD no prohíbe externalizar, pero exige control, y ese control se articula principalmente en el art. 28 (encargados) y, cuando aplica, art. 26 (corresponsables).
Beneficios de gestionar bien a los encargados
- Menos incidentes y menos daño: proveedores con medidas adecuadas reducen probabilidad de brecha.
- Cumplimiento demostrable: contratos, evidencias, criterios de selección, auditoría razonable.
- Continuidad operativa: saber quién hace qué evita bloqueos en incidentes (quién restaura, quién reporta logs, quién comunica).
- Mejor relación con clientes: cuando eres proveedor B2B, tus clientes exigen garantías.
Riesgos típicos
- Proveedor “fantasma”: no hay contrato de encargo o está incompleto.
- Subencargados no controlados: el proveedor usa terceros sin información o autorización adecuada.
- Transferencias internacionales: servicios fuera del EEE sin garantías correctas.
- Accesos excesivos: soporte con credenciales compartidas o sin trazabilidad.
- Falta de plan en incidentes: no está definido cómo notifica el encargado, en qué tiempos y con qué información.
Exigencias RGPD/LOPDGDD
El art. 28 RGPD pide que el encargado trate datos solo siguiendo instrucciones del responsable y con un contrato que incluya, entre otros:
- objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados,
- obligaciones y derechos del responsable,
- confidencialidad, medidas de seguridad, asistencia en derechos y brechas,
- condiciones para subencargados,
- destino de los datos al terminar el servicio,
- disponibilidad de información para demostrar cumplimiento.
La LOPDGDD complementa el marco español. En la práctica, para pymes, la clave no es “firmar por firmar”, sino asegurar que el contrato refleja la realidad y que el proveedor tiene capacidad técnica y organizativa.
Seguridad vs privacidad en proveedores
A veces un proveedor ofrece “más seguridad” a costa de recolectar más datos, registrar más de lo necesario o ampliar finalidades. Eso puede chocar con minimización y finalidad. El responsable debe revisar:
- qué datos son imprescindibles para el servicio,
- si existe base jurídica para cada finalidad,
- qué logs o analíticas se generan y cuánto se conservan,
- si hay accesos remotos y cómo se controlan.
¿EIPD por tener encargados?
No automáticamente. La EIPD se analiza por alto riesgo (art. 35). Externalizar puede aumentar complejidad y riesgo, pero la obligación depende del tratamiento (por ejemplo, gran escala, datos sensibles, vigilancia, perfilado, etc.). Lo que sí es obligatorio es evaluar al proveedor y aplicar proporcionalidad: no se exige lo mismo a un proveedor de email que a uno que trata datos de salud a gran escala.
Medidas de proporcionalidad (selección y control)
- Debida diligencia: verificar reputación, medidas, certificaciones si existen, y capacidad real.
- Contrato alineado: incluir cláusulas del art. 28 adaptadas, no genéricas.
- Control de subencargados: listado, autorización y transparencia.
- Transferencias: identificar dónde se alojan datos y qué garantías aplican cuando hay terceros países.
- Accesos y trazabilidad: soporte con cuentas nominativas, mínimos permisos y control de sesiones cuando sea viable.
- Plan de incidentes: tiempos y contenido de notificación; cooperación para cumplir arts. 33/34.
- Revisión periódica: el proveedor cambia; el riesgo también.
La gestión de encargados es uno de los puntos con mayor impacto real en privacidad y seguridad. Un contrato no “compra” cumplimiento: lo habilita. El cumplimiento se consolida cuando hay selección responsable, control razonable, evidencias y revisión. Eso reduce vulnerabilidades y protege tanto a la empresa como a las personas cuyos datos se tratan.
