Selección de proveedores con acceso a datos: cómo elegir a tu Encargado de Tratamiento

Por /

Cuando un proveedor va a acceder a datos personales de tu empresa, pasa a ser Encargado de Tratamiento. El responsable solo puede contratar a quienes ofrezcan garantías suficientes de seguridad y cumplimiento, y debe formalizar un contrato de encargo. Aquí tienes una guía práctica para elegir bien y evitar sustos.

¿Quiénes suelen ser Encargados de Tratamiento?

  • Asesorías fiscal/contable/laboral, abogados y auditores.
  • Proveedores IT: mantenimiento, cloud, hosting, correo, SaaS, copias de seguridad.
  • Desarrolladores e implantadores de ERP/CRM y soporte remoto.
  • Seguridad (CCTV), control de accesos, destrucción de papel/discos.
  • Marketing y atención al cliente (emailing, chat, formularios, encuestas).

Proceso recomendado (y documentado) en 3 pasos

  1. Pedir garantías al proveedor: políticas y medidas de seguridad, cifrado y copias, control de accesos, gestión de brechas, listado de subencargados, ubicaciones de datos y si hay transferencias internacionales.
  2. Valorar y aprobar las garantías según el riesgo de tus tratamientos. Deja constancia (acta o informe breve). Principio de accountability.
  3. Firmar el contrato de encargo con el contenido mínimo legal (instrucciones, confidencialidad, seguridad, subencargados, ayuda en derechos/brechas, devolución/supresión al terminar, etc.).

Cuándo hacerlo

  • Ideal: antes de contratar (fase de compra/negociación).
  • Corrector: durante la relación (regularización tras auditoría).
  • Malo: después de una brecha… cuando ya es tarde para negociar garantías.

Checklist exprés para aprobar a un proveedor

  • Base de legitimación correcta y contrato de encargo listo para firma.
  • Medidas técnicas: cifrado en tránsito/descanso, contraseñas sólidas, doble factor, copias probadas.
  • Medidas organizativas: control de accesos, altas/bajas de usuarios, formación, registro de incidencias.
  • Brechas: canal de notificación, plazos y responsable, plantillas de reporte.
  • Subencargados: listado, aviso de cambios y derecho a oponerte si sube el riesgo.
  • Ubicación de datos: dentro de la UE/EEE; si hay terceros países, SCC y evaluación de impacto de transferencias.
  • Fin del servicio: devolución/supresión certificada y plazos de conservación.

Errores comunes que cuestan dinero

  • Confiar en el “consentimiento” del cliente para tapar todo: no sustituye tus obligaciones como responsable.
  • No inventariar proveedores ni contratos: cuando llega una auditoría, falta trazabilidad.
  • Olvidar a los subencargados del proveedor (p. ej., su cloud o su herramienta de tickets).
  • No revisar la ubicación real de los datos ni las transferencias fuera de la UE.

Plantilla mínima de contrato (estructura sugerida)

  1. Objeto y duración del encargo.
  2. Instrucciones documentadas y finalidades.
  3. Medidas de seguridad (anexo técnico).
  4. Confidencialidad y deber de secreto.
  5. Subencargados y comunicación de cambios.
  6. Asistencia en el ejercicio de derechos y gestión de brechas.
  7. Devolución o destrucción de datos al finalizar; auditorías y evidencias.
Conclusión: subcontratar es necesario, pero exige evaluar, aprobar y documentar a tus proveedores con acceso a datos. Si quieres, podemos revisar tu inventario y dejar listos los contratos de encargo y las evidencias de cumplimiento.

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio