LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

¿Responde tu empresa ante el incumplimiento del RGPD de un proveedor?

¿Responde tu empresa ante el incumplimiento del RGPD de un proveedor?

General ·

Externalizar servicios que implican el acceso a datos personales es una práctica muy común en las empresas. Sin embargo, esta práctica plantea una cuestión jurídica crítica: qué ocurre ante un incumplimiento del RGPD por un proveedor. Cabe señalar que el reglamento no libera automáticamente al responsable del tratamiento cuando subcontrata, por lo que resulta conveniente extremar las cautelas legales.

  • La empresa podría responder si no se ha actuado con la diligencia exigida por el RGPD.
  • El contrato de encargado de tratamiento del art. 28 RGPD es obligatorio, pero podría no ser suficiente por sí solo.
  • El responsable debe supervisar y auditar al proveedor cuando sea necesario.
  • Ante un incumplimiento, es esencial actuar y documentar todas las decisiones.

Tabla de contenidos

Autora:

Laura Castilla Jiménez, abogada

¿Qué marco jurídico establece el RGPD para el responsable y el encargado de tratamiento?

En primer lugar, el RGPD distingue dos figuras esenciales:

  • De un lado, el responsable del tratamiento es quien decide los fines y medios del tratamiento, de acuerdo con el artículo 4.7 del RGPD.
  • De otro, el encargado del tratamiento trata los datos por cuenta del responsable, conforme al artículo 4.8 del RGPD.

Cuando una empresa contrata a un proveedor externo que accede a datos personales, este puede actuar, en función de las circunstancias concretas del tratamiento, como encargado del tratamiento. No obstante, en dichos supuestos, el responsable mantiene el control jurídico del tratamiento.

Asimismo, cabe señalar que el artículo 28.1 del RGPD impone una obligación clara, pues los encargados deben ofrecer garantías suficientes de cumplimiento.

¿Existe responsabilidad para la empresa ante un incumplimiento del RGPD por un proveedor?

El RGPD no establece una responsabilidad automática del responsable por los actos del proveedor, pero sí una responsabilidad condicionada al cumplimiento de sus propias obligaciones legales. Por tanto, la empresa puede ser considerada responsable si:

  • La evaluación previa al proveedor no se ha realizado.
  • No existe contrato de encargado de tratamiento conforme al RGPD.
  • No ha impartido instrucciones documentadas.
  • Ha tolerado incumplimientos conocidos o previsibles.

Por ello, ante un incumplimiento del RGPD por el proveedor, la clave reside en la conducta del responsable y en su capacidad para demostrar diligencia y cumplimiento, conforme al principio de responsabilidad proactiva del artículo 5.2 del RGPD.

¿Qué regula el RGPD en relación con el contrato de encargado de tratamiento?

El contrato de encargado de tratamiento no es una mera formalidad, sino que supone un requisito legal imprescindible. Así pues, el artículo 28.3 del RGPD recoge unas obligaciones mínimas que deben cumplirse:

  • En primer lugar, el objeto, duración, naturaleza y finalidad del tratamiento.
  • En segundo lugar, tipología de datos y categorías de interesados.
  • Tercero, tratamiento conforme a instrucciones documentadas.
  • Cuarto, compromisos de confidencialidad.
  • En quinto lugar, medidas de seguridad del artículo 32 del RGPD.
  • Sexto, condiciones de subencargo, en caso de haberlo.
  • En séptimo lugar, asistencia en el ejercicio de derechos.
  • Octavo, devolución o supresión de datos al finalizar el servicio.
  • En noveno y último lugar, facilidades para auditorías e inspecciones.

Asimismo, cabe destacar que un contrato genérico o desactualizado no resulta suficiente para proteger al responsable frente a posibles responsabilidades o sanciones.

¿Cómo debe actuar la empresa si el proveedor incumple el RGPD?

Una vez que se ha detectado un posible incumplimiento, es conveniente que el responsable reaccione de forma inmediata y proporcional. En caso de inacción, podrían derivarse responsabilidades para el responsable del tratamiento. Por ello, las actuaciones recomendables incluyen, entre otras, las siguientes:

  • Primero, requerir información y explicaciones al proveedor.
  • Segundo, emitir instrucciones correctoras por escrito.
  • En tercer lugar, activar auditorías o controles específicos.
  • Cuarto, valorar si es conveniente la rescisión contractual.
  • Quinto, documentar todas las actuaciones realizadas.

Además, si existe una violación de la seguridad de los datos personales, deberán evaluarse las obligaciones de notificación previstas en los artículos 33 y 34 del RGPD.

¿Qué buenas prácticas son recomendables para prevenir riesgos con proveedores?

Para reducir la exposición a riesgos legales, existen una serie de buenas prácticas que pueden seguirse. Entre otras, se recomiendan las siguientes:

  • Evaluar a los proveedores antes de su contratación.
  • Revisar periódicamente los contratos de encargo.
  • Integrar auditorías en el ciclo de vida del proveedor.
  • Mantener evidencias documentales del control ejercido.
  • Coordinar estas medidas con el sistema de compliance.

De este modo, la empresa estará reforzando su posición ante posibles inspecciones. Asimismo, resulta recomendable contar con asesoramiento especializado en materia de protección de datos para la correcta gestión de proveedores. ¡Contacta con Legal Veritas!

Conclusiones

En conclusión, trabajar con proveedores externos no exime a la empresa de sus obligaciones en materia de protección de datos. Ante un incumplimiento del RGPD por un proveedor, la clave está en la diligencia del responsable, en la correcta articulación del contrato del artículo 28 del RGPD y en la capacidad de supervisar y reaccionar ante posibles desviaciones. Una gestión preventiva, activa y debidamente documentada de los encargados del tratamiento resulta esencial para reducir riesgos legales y sancionadores.

El contenido de este artículo tiene carácter meramente informativo y no constituye asesoramiento jurídico. Su aplicación práctica requiere un análisis específico de cada situación concreta y de la normativa vigente en el momento de los hechos. Por tanto, para una valoración personalizada, se recomienda recabar asesoramiento legal especializado. ¡Contacta con nosotros!

Preguntas Frecuentes (FAQs)

¿Puede sancionarse a la empresa por un incumplimiento cometido por su proveedor?

Sí, podría ocurrir si no se acredita diligencia. Los artículos 5.2 y 28 del RGPD exigen no solo cumplir, sino poder demostrar el cumplimiento. Por tanto, si el responsable no ha seleccionado ni supervisado adecuadamente al proveedor, podría ser sancionado.

¿Firmar el contrato de encargado de tratamiento exime de responsabilidad?

No, ya que aunque el contrato es obligatorio, debe ir acompañado de control efectivo. Las autoridades de control valoran la realidad del cumplimiento, no solo la existencia documental del contrato.

¿Es legal auditar a un proveedor en protección de datos?

Sí. El artículo 28.3.h del RGPD reconoce expresamente el derecho del responsable a realizar auditorías o inspecciones, directamente o mediante terceros independientes.

¿Debe rescindirse siempre el contrato si el proveedor incumple?

No siempre. Sin embargo, el incumplimiento grave o reiterado de las obligaciones previstas en el contrato de encargado de tratamiento puede justificar la resolución contractual, de conformidad con lo dispuesto en el artículo 28.3 del RGPD y con lo pactado entre las partes. En todo caso, la decisión debe ser proporcionada y estar debidamente documentada.

Fuentes y recursos

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *