Evaluación de prestadores de servicios con acceso a datos personales. ¿Qué es y cuáles son sus beneficios?

Evaluación de prestadores de servicios con acceso a datos personales. ¿Qué es y cuáles son sus beneficios?
enero 13, 2022| Protección de datos
  1. ¿Qué es la evaluación de prestadores de servicios (proveedores) con acceso a datos?
  2. ¿Es obligatorio? ¿Qué beneficios aporta su realización?
  3. ¿Cómo se realiza dicha evaluación?
  4. ¿En qué momento de la relación se hace la evaluación? Etapa Precontractual.
  5. Pasos y Fases recomendadas para realizar la homologación de proveedores

¿Qué es la evaluación de prestadores de servicios (proveedores) con acceso a datos?

La evaluación de proveedores consiste en el proceso de valorar y aprobar a los posibles proveedores de una organización, que para prestar el servicio deban tener acceso a datos de carácter personal. Una evaluación de proveedores también se encarga de examinar a los proveedores actuales para medir y supervisar su cumplimiento normativo.

¿Es obligatorio? ¿Qué beneficios aporta su realización?

El artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, RGPD) se establece la obligación de elegir únicamente a aquellos encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de tal manera que el tratamiento que realicen por cuenta del responsable sea conforme con los requisitos establecidos en la citada normativa.

De lo anterior se desprenden dos cuestiones a tener en consideración;

  • los responsables del tratamiento deben ser diligentes a la hora de elegir a sus encargados y;
  • los encargados del tratamiento, con carácter previo a su contratación, tienen que ofrecer a los responsables las garantías que resulten adecuadas al nivel de riesgo identificado, facilitando las evidencias que permitan acreditar el cumplimiento de estas.

En cumplimento del principio de responsabilidad activa y diligencia en la elección de proveedores con acceso a datos de carácter personal (encargados del tratamiento) establecido en el RGPD los responsables harán estas evaluaciones para conocer su grado de adaptación a esta normativa de protección de datos.

¿Cómo se realiza dicha evaluación?

En la actualidad, ni las autoridades de control competentes ni el Comité Europeo de Protección de Datos, han desarrollado los esquemas de certificación o aprobados suficientes códigos de conducta, para que las garantías enunciadas puedan ser aplicadas o tenidas en consideración por los responsables a la hora de seleccionar a sus encargados.

Entre tanto o como refuerzo de las citadas garantías y de conformidad con el principio de responsabilidad proactiva, los responsables deben implementar mecanismos y criterios que les permitan seleccionar a los encargados, así como evidenciar ese deber de diligencia frente a las autoridades de control competentes

En este sentido, los responsables podrán optar, bien por desarrollar e implementar políticas y procesos internos que les permitan llevar a cabo la evaluación y selección de proveedores de manera objetiva y evidenciable, o bien, contratar los servicios de un tercero de confianza que haya desarrollado unos criterios de evaluación propios que permita a los responsables seleccionar a sus proveedores basándose en la información facilitada por dicho tercero.

¿En qué momento de la relación se hace la evaluación? Etapa precontractual.

La complejidad del proceso de homologación de proveedores será mayor o menor dependiendo del tipo de responsable del tratamiento que nos encontremos y el procedimiento deberá ser transversal a todas las unidades de negocio implicadas en la selección de proveedores, pero además debe tener la capacidad o entidad suficiente para determinar si finalmente procede o no, iniciar la contratación del mismo. Será también fundamental impartir una adecuada formación específica en la materia a los trabajadores involucrados, lo que además reforzará a modo de evidencia, que estamos cumpliendo con el principio de responsabilidad proactiva. Por lo tanto, se debe realizar en la etapa precontractual.

La protección de datos se convierte así, en otro elemento fundamental previo a la selección del proveedor, junto con las ya tradicionales cuestiones de negocio, financieras o logísticas.

Pasos y Fases recomendadas para realizar la homologación de proveedores

En cuanto a la evaluación de los proveedores, a continuación, se propone seguir el siguiente esquema, en donde se enumeran los pasos o diferentes fases que, con independencia del tamaño o características del responsable, deben siempre tenerse en cuenta o incluirse:

  1. Organización y gobernanza de la privacidad. El proceso de homologación ha de incluir la evaluación de la organización y gobernanza de la privacidad del proveedor, verificando y revisando la existencia de criterios relativos a protección de datos y otros aspectos del gobierno y cumplimiento de la normativa como,
  2. Gestión de negocio. A continuación, se ha de evaluar (en mayor o menor medida) la gestión diaria de la privacidad por parte del proveedor, es decir se examinarán las medidas de seguridad implementadas y el cumplimiento de los requisitos del RGPD, como por ejemplo los mecanismos para el ejercicio de derechos.
  3. Respuesta a incidentes. Otro de los puntos más importantes a la hora de evaluar a los proveedores es la gestión de incidentes de privacidad (cómo actuarían en caso de pérdida de datos o robo de información, por ejemplo). Será necesario evaluar si el proveedor cuenta con procedimientos al respecto y si están implementados correctamente los canales que permitan al responsable cumplir con los requisitos del RGPD, tanto en forma como en tiempo, en caso de que el incidente se produzca en el lado del proveedor.
  4. Seguridad IT. Tal y como señalábamos, los proveedores, deben ofrecer garantías suficientes para aplicar medidas técnicas de manera que el tratamiento sea conforme a lo que exige el reglamento.
  5. Gestión del personal. Se deberá comprobar que el personal del tercero que participe en el tratamiento de los datos además de las obligaciones identificadas por el responsable cumpla con las obligaciones establecidas por el proveedor que estarán reflejadas en la política de seguridad y procedimientos específicos del mismo.
  6. Subcontratación. Una exigencia del RGPD es la autorización previa y por escrito del responsable del tratamiento para que el proveedor pueda recurrir a otro encargado del tratamiento o subencargado. Previo a la fase contractual, se podrá establecer como criterio para la contratación con el responsable que los subencargados estén sujetos a las mismas condiciones que se apliquen al encargado entre ellas las medias de seguridad y obligaciones, anteriormente señaladas, las cuales se harán extensivas a toda la cadena de subcontrataciones que pudiera estar involucrada en el tratamiento.
Suscribete a nuestra Newsletter