Sanción por no informar que subcontrata servicios

Sanción por no informar que subcontrata servicios

Si subcontratas tus servicios y estos contemplan el tratamiento de datos de tus clientes, este artículo te interesa para cumplir con el RGPD y evitar sanciones.

Te lo explicamos a continuación.

¿Quién es quién y qué hace cada uno?

Cuando la subcontratación de servicios lleva implícito el tratamiento de datos personales (ej. nombres, DNI, email, teléfono, etc.), el subcontratado será considerado Subencargado del Tratamiento, siendo por tanto, cada parte considerada de la siguiente forma:

Responsable del tratamiento o Responsable

Quien contrata los servicios de un tercero (el cliente)

Encargado del tratamiento o Encargado

A quien se contrata para prestar dicho servicio (el proveedor)

Subencargado del tratamiento o Subencargado

Quien presta realmente el servicio al cliente, pero es contratado por el Encargado del tratamiento.

¿Cómo debemos regular la relación con los subencargados?

Dado que los subcontratados tratarán datos de nuestros clientes, es imprescindible cumplir con ciertos aspectos legales, en materia de protección de datos, que afectan a todas las partes, según detallamos a continuación:

Responsable del tratamiento o Responsable

Cuando el Responsable pretenda contratar servicios externos, este deberá elegir  únicamente a un Encargado que ofrezca garantías suficientes para cumplir con el RGPD. Art. 28.1.

El servicio prestado por el Encargado se regirá por un contrato, que vincule al Encargado con el Responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato contemplará lo establecido en el Art. 28.3 RGPD y su contenido se ajustará a la Decisión de la Comisión a este respecto.

Encargado del tratamiento o Encargado

El Encargado no podrá subcontratar los servicios prestado al Responsable, sin la autorización previa por escrito, específica o general, por parte del responsable. Art. 28.2 RGPD.

El Encargado deberá analizar cuidadosamente qué subencargado elige y si éste último incumple alguna de las obligaciones legales, el Encargado será plenamente responsable de los perjuicios que ello genere frente al Responsable. Art. 28.4 del RGPD.

El Encargado impondrán al Subencargado, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en el contrato entre el Responsable y el Encargado. Art. 28.4 RGPD

Subencargado del tratamiento o Subencargado

El Subencargado deberá cumplir las obligaciones de protección de datos impuestas por el Encargado. Art. 28.4 RGPD

El subencargado está sujeto al cumplimiento de la Normativa de protección de datos, por lo que si incumple sus obligaciones podrá ser sancionado por la AEPD.

Obligaciones antes de contratar un subencargado

Informar

El Encargado debe informar al Responsable, sobre los subencargados participantes en los servicios que preste al Responsable, aportando al menos la información siguiente:

  • Nombre
  • Dirección
  • Persona de contacto
  • Descripción del tratamiento encomendado

Esta información se ofrece en el mencionado contrato a firmar entre el Responsable y el Encargado.

Autorización

No basta con informar, pues el Responsable deberá autorizarlo por escrito y se le otorgará un plazo para oponerse a la contratación del subencargado, cuando considere que el mismo no ofrece las garantías de seguridad en el tratamiento de los datos que exige la Normativa de protección de datos. Art. 28.2 RGPD

¿Qué ocurre si no se informa que existen subencargados?

De inicio, estaría incumpliendo lo dispuesto en el art. 28.2 del RGPD, pues no daría la oportunidad al responsable de oponerse a dicha contratación.

Dicho incumplimiento deviene en una infracción leve, según el art. 83.4 a) RGPD, en donde la multa administrativa oscila entre 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como puede verse, la multa no es menor.

Un buen ejemplo de ello lo encontramos en la reciente Resolución de la AEPD: PS/00127/2024, en donde se sancionó con 500.000 euros a MARINA SALUD, S.A., empresa sanitaria que presta servicios sanitarios públicos, por no haber informado a la CONSELLERIA DE SANIDAD UNIVERSAL Y SALUD PÚBLICA DE LA GENERALITAT VALENCIANA de los cambios en su listado de subencargados.

El Comité Europeo de Protección de Datos (CEPD) ya emitió el pasado mes de octubre el Dictamen 22/2024, a solicitud de la Autoridad Danesa de Protección de Datos (ADPD) sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento, que complementa lo dicho en este punto.

Business Adapter® a tu servicio

Si eres Encargado del tratamiento y subcontratas tus servicios, deberás tener en cuenta todo lo dicho, para evitar sanciones.

Para saber más sobre Subencargados del tratamiento, te puede interesar esta otra publicación: El Subencargado del tratamiento: el gran olvidado

Si eres cliente y necesitas asesoramiento, contacta con tu consultor para recibir la asistencia necesaria al respecto.

Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!