Subcontractació de serveis i LOPD

La subcontractació de serveis per part de proveïdors que accedeixen a les nostres dades, resulta una realitat cada vegada més comuna en el dia a dia de les empreses i és que serveis com el cloud computing, en les seves diferents modalitats, poden implicar que una empresa A, titular d’un fitxer, contracti amb l’empresa B un servei (per exemple l’ús d’un programa) i que aquesta subcontracti amb l’empresa C part d’aquest servei (per exemple, l’allotjament del programa i per tant, de les dades). En moltes ocasions, l’empresa A, no només desconeix el servei que presta l’empresa C, sinó que arriba a desconèixer de la seva existència. La legislació en protecció de dades, evolucionant amb la realitat, ha passat d’una inicial prohibició de la subcontractació, a permetre-la amb restriccions i condicionants. Vegem quins.

Subcontratación LOPD
Subcontratación LOPD

 

És possible la subcontractació?

Aquest dubte ha quedat solucionada des de l’aprovació del RLOPD, on específicament en l’article 21, es preveu la possibilitat que un encarregat del tractament, subcontracti la totalitat o part dels serveis contractats pel client. En tot cas, i a més dels requisits que veurem, l’AEPD i la pròpia normativa, comporta que el client (responsable de les dades), realitzi esforços per conèixer tota la cadena de subcontractacions, per tot això és recomanable que abans de contractar un servei que impliqui l’accés a dades per un proveïdor, es realitzi una auditoria prèvia del proveïdor, la qual cosa demostrarà la diligència del client, en cas de problemes posteriors amb l’AEPD. En aquesta auditoria, haurien de prendre’s mesurades per conèixer les següents dades: (1) el proveïdor accedirà a dades personals? (2) tenim signat un contracte amb el contingut de l’art. 12 LOPD? (3) ha estat sancionat per l’AEPD? (4) on s’allotjaran les dades? A la UE? Fora? (5) Hi ha subcontractació de part o la totalitat del servei? Aquestes preguntes prèvies a contractar, poden estalviar-nos problemes en el futur.

 

Quins són els requisits per a la subcontractació?

Essencialment dóna dues possibilitats per a la subcontractació de serveis que impliqui l’accés a dades:

Opció 1: Que el client autoritzi la subcontració i que el proveïdor, contracti amb el subcontractat en nom i per compte del client.

Opció 2: Si no hi ha autorització del client, la subcontractació serà possible si es compleixen els següents requisits: (1) Que en el contracte entre el client i el proveïdor s’especifiqui el servei o serveis que podran ser subcontractats i, si se sap, l’empresa que els prestarà (2) Que la intervenció del subcontractista s’ajusti a les instruccions del client i (3) que el proveïdor i el subcontractista signin un contracte amb el contingut de l’art. 12 de la LOPD.

Conèixer per tant els casos de subcontractació de serveis per part dels nostres proveïdors, és bàsic per complir la LOPD. En moltes ocasions, es subontrata serveis amb proveïdors que poden no estar en territori europeu, per la qual cosa els requisits i salvaguardes a prendre són majors, sent impossible prendre-les si no es coneix la intervenció de terceres empreses.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Informació sobre protecció de dades

Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentimient.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d'un contracte de serveis vigent.

Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s'esmenten en la nostra Política de Privacitat.

Més informació
Consulta la Política de Privacitat.