Compartir esta noticia:
Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

La subcontratación de servicios por parte de proveedores que acceden a nuestros datos, resulta una realidad cada vez más común en el día a día de las empresas y es que servicios como el cloud computing, en sus distintas modalidades, pueden implicar que una empresa A, titular de un fichero, contrate con la empresa B un servicio (por ejemplo el uso de un programa) y que ésta subcontrate con la empresa C parte de este servicio (por ejemplo, el alojamiento del programa y por tanto, de los datos). No en pocas ocasiones, la empresa A, no sólo desconoce el servicio de la empresa C, sino que llega a desconocer de su existencia. La legislación en protección de datos, evolucionando con la realidad, ha pasado de una inicial prohibición de la subcontratación, a permitirla con restricciones y condicionantes. Veamos cuáles.

Subcontratación LOPD

Subcontratación LOPD

 

¿Es posible la subcontratación?

Esta duda ha quedado solucionada desde la aprobación del RLOPD, donde específicamente en el artículo 21, se prevé la posibilidad que un encargado del tratamiento, subcontrate la totalidad o parte de los servicios contratados por el cliente. En todo caso, y además de los requisitos que veremos, la AEPD y la propia normativa, conlleva que el cliente (responsable de los datos), realice esfuerzos para conocer toda la cadena de subcontrataciones, para todo ello es recomendable que antes de contratar un servicio que implique el acceso a datos por un proveedor, se realice una auditoría previa del proveedor, lo que demostrará la diligencia del cliente, en caso de problemas posteriores con la AEPD. En esta auditoría, deberían tomarse medidas para conocer los siguientes datos: (1) el proveedor ¿va acceder a datos personales? (2) ¿tenemos firmado un contrato con el contenido del art. 12 LOPD? (3) ¿ha sido sancionado por la AEPD? (4) ¿dónde se alojarán los datos? ¿En la UE? ¿Fuera? (5) ¿Hay subcontratación de parte o la totalidad del servicio? Estas preguntas previas a contratar, pueden ahorrarnos problemas en el futuro.

¿Cuáles son los requisitos para la subcontratación?

Esencialmente da dos posibilidades para la subcontratación de servicios que implique el acceso a datos:

Opción 1: Que el cliente autorice la subcontración y que el proveedor, contrate con el subcontratado en nombre y por cuenta del cliente.

Opción 2: Si no hay autorización del cliente, la subcontratación será posible si se cumplen los siguientes requisitos: (1) Que en el contrato entre el cliente y el proveedor se especifique el servicio o servicios que podrán ser subcontratados y, si se sabe, la empresa que los prestará (2) Que la intervención del subcontratista se ajuste a las instrucciones del cliente y (3) que el proveedor y el subcontratista firmen un contrato con el contenido del art. 12 de la LOPD.

Conocer por tanto los casos de subcontratación de servicios por parte de nuestros proveedores, es básico para cumplir la LOPD. En no pocas ocasiones, se subontrata servicios con proveedores que pueden no estar en territorio europeo, por lo que los requisitos y salvaguardas a tomar son mayores, siendo imposible tomarlas si tan siquiera se conoce la intervención de terceras empresas.

 

Contacta con Víctor Roselló

Los campos con asterisco (*) son obligatorios.

Nombre*

Apellidos*

Empresa

NIF / CIF

Teléfono*

Correo electrónico*

Asunto*

Comentarios

He leído y acepto la Política de Privacidad

Para evitar spam y confirmar que no eres un robot,
escribe por favor el texto de la imagen captcha