Guía práctica
Proveedores, encargados y transferencias de datos
Cómo ordenar contratos, subencargados, cesiones y transferencias internacionales cuando terceros tratan datos personales.
Lo esencial
- No basta con saber qué proveedor se usa: hay que saber qué datos trata, para qué finalidad, bajo qué instrucciones y con qué medidas.
- Los contratos con encargados deben reflejar roles, obligaciones, seguridad, subencargados, conservación y devolución o eliminación.
- Las transferencias internacionales requieren una revisión específica y evidencia de las garantías usadas.
Mapa de terceros
Toda organización debería saber qué proveedores acceden a datos personales, qué procesos soportan, qué categorías de datos reciben, dónde operan y si usan subencargados.
Este mapa debe conectarse con el RAT. Si un proveedor trata datos para varios procesos, cada tratamiento puede tener riesgos y finalidades distintas.
Contrato y control operativo
El contrato debe describir instrucciones, finalidad, confidencialidad, medidas de seguridad, asistencia ante derechos, gestión de incidentes, subcontratación, auditoría, devolución o eliminación de datos y restricciones de uso.
La firma del contrato no cierra el tema. También se necesita seguimiento: cambios de servicio, nuevos subencargados, incidentes, renovaciones y salidas ordenadas.
Evidencia que conviene preparar
- Inventario de proveedores y subencargados.
- Contrato o anexo de tratamiento de datos.
- Evaluación de riesgo del proveedor.
- Registro de transferencias internacionales y garantías.
Fuentes y límite de uso
Esta guía es informativa y no reemplaza asesoría legal. La interpretación y aplicación concreta debe revisarse según la actividad, el tipo de datos, los contratos y las instrucciones vigentes de la autoridad.