Categorías
Cumplimiento normativo

Contrato de Encargado del Tratamiento: AEPD.

La falta de contrato con proveedores es la infracción más fácil de detectar en una inspección. Descubre cómo regularizar tus contratos de encargo y evitar multas.

Primer plano de un contrato de encargado del tratamiento con una oficina profesional de fondo.
La ausencia de un contrato firmado con tus proveedores es la infracción más detectada por la AEPD.

Contrato de Encargado del Tratamiento: El documento que la AEPD te pedirá primero.

Cuando me preguntan cuál es el punto más débil de la seguridad jurídica de una empresa, no dudo: la gestión de terceros. Puedes tener la mejor política interna del mundo, pero si tu proveedor de hosting, tu gestoría laboral o tu empresa de mantenimiento informático no están debidamente atados por un contrato de encargado del tratamiento, estás operando sin red. Y lo que es peor, estás asumiendo una responsabilidad que podría hundir tu cuenta de resultados en cuanto la Agencia Española de Protección de Datos (AEPD) asome la cabeza por tu puerta.

He visto demasiadas veces cómo empresas diligentes acaban con multas de seis cifras no por algo que hayan hecho ellas, sino por algo que ha hecho un proveedor. Y cuando pido el contrato de encargo para defenderlos, la respuesta es el silencio o, peor aún, un documento de dos páginas que no cumple ni el 10% de lo que exige el Reglamento General de Protección de Datos (RGPD). Hoy te voy a explicar por qué este «despiste» es el favorito de los inspectores y cómo debes cerrar esa brecha antes de que sea tarde.

El mito del proveedor de confianza y la realidad de la sanción

Es muy común escuchar en las reuniones de dirección aquello de: «Llevamos diez años con ellos, son de total confianza». En el mundo del cumplimiento normativo, la confianza no es un documento legal. La normativa es clara: si un tercero accede a datos de los que tú eres responsable para prestarte un servicio, ese tercero es un encargado del tratamiento. Y si no hay un contrato que regule esa relación, hay sanción.

El concepto proveedores encargados del tratamiento sin contrato hay sanción no es una amenaza vacía; es una realidad administrativa. La AEPD considera que la ausencia de contrato es una infracción grave. No importa si no ha habido una fuga de datos; el mero hecho de que el proveedor tenga acceso a la información sin las garantías contractuales del artículo 28 ya es motivo de multa. Es lo que llamamos una infracción formal, y son las más fáciles de detectar en una inspección de rutina.

El artículo 28 del RGPD: Tu lista de la compra obligatoria

No cualquier contrato vale. Un párrafo en el contrato de prestación de servicios que diga «cumpliremos con la LOPD» es papel mojado. El contrato encargado del tratamiento debe ser exhaustivo y detallar, punto por punto, las obligaciones del proveedor. Como responsable, tienes que imponerle cómo debe tratar los datos, qué medidas de seguridad debe implementar y qué ocurre cuando la relación termina.

Un contrato sólido debe incluir obligatoriamente la naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados. Pero lo que realmente salva a una empresa en una inspección son las cláusulas relativas a la asistencia en el ejercicio de derechos (ARCO-POL), la notificación de brechas de seguridad y, sobre todo, el derecho de auditoría. Si tu contrato no te permite auditar a tu proveedor, no tienes el control real sobre tus datos.

La inspección que lo destapa: El efecto dominó

¿Cómo llega la AEPD a tu puerta por culpa de un proveedor? Normalmente por dos vías. La primera es una denuncia de un trabajador o cliente que ha visto sus datos comprometidos por un fallo del proveedor. La segunda, y más peligrosa, es una inspección iniciada al propio proveedor que termina salpicando a todos sus clientes.

Cuando la AEPD inspecciona a una empresa de servicios, lo primero que pide es la lista de sus clientes y los contratos de encargo de tratamiento. Si tu nombre está en esa lista y el contrato no existe o es deficiente, la inspección se traslada a ti automáticamente. Es una reacción en cadena. La mala gestión del contrato con el proveedor multa a ambas partes: al encargado por tratar datos sin instrucciones y a ti, como responsable, por no haber cumplido con tu deber de vigilancia.

La «culpa in eligendo» y el deber de vigilancia

Muchos empresarios creen que, al firmar el contrato, la responsabilidad se traslada mágicamente al proveedor. Siento decirte que no es así. El RGPD introduce el concepto de responsabilidad proactiva (accountability). Esto significa que tú eres responsable de elegir a un proveedor que ofrezca garantías suficientes (culpa in eligendo) y de supervisar que cumpla con lo acordado a lo largo del tiempo (deber de vigilancia).

Si contratas a una empresa de limpieza que tiene acceso a las oficinas por la noche y no verificas que sus empleados han firmado compromisos de confidencialidad, la responsabilidad de cualquier filtración será compartida, pero el daño reputacional y la sanción inicial recaerán sobre ti. La gestión de proveedores no es un «firma y olvida», es un proceso continuo de auditoría y revisión.

Errores comunes que disparan las alertas en una inspección

A lo largo de mi carrera en Abogado Virtual, he identificado patrones de error que son auténticos imanes para las sanciones:

  1. El contrato genérico: Usar el mismo modelo para una empresa de catering que para una de servicios de nóminas. Las medidas de seguridad no pueden ser las mismas.
  2. La falta de anexos técnicos: Un contrato sin un anexo detallado de medidas de seguridad es incompleto. Debes especificar si hay cifrado, control de acceso, copias de seguridad, etc.
  3. El subencargo no autorizado: Muchos proveedores subcontratan partes del servicio (como el almacenamiento en la nube) sin pedirte permiso previo por escrito. Esto es una violación directa del RGPD si no está regulado en el contrato principal.
  4. Proveedores fuera del Espacio Económico Europeo: Si tu proveedor usa servidores en EE.UU. u otros países sin decisiones de adecuación o cláusulas contractuales tipo actualizadas, estás realizando una transferencia internacional de datos ilegal.

Cómo regularizar tu cartera de proveedores hoy mismo

Si después de leer esto te ha entrado sudores fríos pensando en tu gestoría o en esa herramienta de marketing que usas, es hora de actuar. Lo primero es hacer un inventario real de todos los terceros que tocan tus datos. No te olvides de los «pequeños»: el técnico informático autónomo, la empresa de destrucción de documentos o el consultor de calidad.

Una vez identificados, debes clasificar el riesgo. Un proveedor con acceso a historiales clínicos o datos bancarios es prioridad absoluta. El siguiente paso es auditar los contratos existentes. Si no cumplen con el estándar del artículo 28, debes enviar una adenda de protección de datos inmediatamente. No aceptes un «ya estamos cumpliendo» por correo electrónico; exige el documento firmado.

La importancia de la evidencia en el cumplimiento

En una inspección, lo que no está documentado no existe. Puedes haber tenido mil llamadas con tu proveedor discutiendo la seguridad, pero si no tienes un registro de esas interacciones o los resultados de una auditoría anual (aunque sea un cuestionario de seguridad firmado por ellos), no tienes defensa.

El cumplimiento normativo es, en gran medida, la gestión de la evidencia. Debes ser capaz de demostrar a la AEPD que has actuado con la diligencia de un buen profesional. Esto incluye tener un registro de actividades de tratamiento (RAT) donde cada encargado esté perfectamente identificado y vinculado a su contrato correspondiente.

Consecuencias de la inacción

No gestionar correctamente a tus proveedores te expone a multas que, según el RGPD, pueden llegar a los 10 millones de euros o al 2% del volumen de negocio anual global para infracciones de este tipo. Pero más allá del dinero, está la continuidad de tu negocio. Una sanción de la AEPD es pública y puede cerrarte las puertas a licitaciones públicas, grandes contratos corporativos y, por supuesto, destruir la confianza de tus clientes.

En Abogado Virtual, entendemos que gestionar cientos de proveedores puede ser abrumador. Por eso, nuestro enfoque no es solo legal, sino operativo. Te ayudamos a automatizar estos procesos para que el «contrato que falta» deje de ser un riesgo y se convierta en una ventaja competitiva.

Conclusión final sobre la gestión de terceros

La externalización de servicios es una necesidad en la economía actual, pero no debe ser una externalización de tus responsabilidades legales. El control de tus proveedores es el termómetro que mide la salud de tu cumplimiento normativo. Si fallas ahí, fallas en todo. Protege tu empresa, asegura tus datos y, sobre todo, asegúrate de que cada mano que toca tu

Logo Chat

NOMBRE CLIENTE

Chat

-
Logotipo de whatsapp

¡Hola! Bienvenido a , ¿Qué necesita?

Botón de WhatsApp