Firmaste el contrato de encargo ¿Y ahora quién controla lo que hace tu proveedor con los datos?
Cómo el artículo 28 del RGPD ha evolucionado desde una obligación documental hacia una auténtica herramienta de supervisión de proveedores tecnológicos.
Hay una escena que se repite en casi todos los proyectos de revisión de proveedores tecnológicos. El equipo jurídico confirma que sí, que existe un contrato de encargo firmado. Se abre el archivo. Se lee. Y entonces aparece lo que aparece siempre: cuatro páginas genéricas, copiadas de una plantilla del año del RGPD, que no describen el tratamiento real, no fijan instrucciones concretas, no dicen nada sobre los sub-encargados y no incluyen ningún mecanismo de auditoría. Formalmente, el contrato está firmado. Materialmente, apenas ofrece control. Y esa diferencia entre tener un documento y poder demostrar una supervisión efectiva del encargado del tratamiento es precisamente donde hoy se concentra buena parte del riesgo.
Lo que el artículo 28 del RGPD exige: más allá de la firma del contrato
El artículo 28 del RGPD no pide que exista un contrato. Pide que ese contrato contenga, como mínimo, el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos y las categorías de interesados, las instrucciones precisas del responsable, las medidas de seguridad exigibles, el régimen de subcontratación, los mecanismos de asistencia en el ejercicio de derechos de los interesados, la obligación de notificación de brechas, la devolución o destrucción de datos al terminar el contrato y el derecho de auditoría. Doce requisitos materiales. En la práctica, es frecuente encontrar contratos que no desarrollan adecuadamente buena parte de estos requisitos.
Pero lo más importante no está en la lista de requisitos. Está en la primera frase del artículo: el responsable solo puede contratar con encargados que ofrezcan garantías suficientes de protección de datos. Eso significa que antes de firmar hay una obligación de verificación. No se trata únicamente de una buena práctica: forma parte de las obligaciones que el RGPD impone al responsable del tratamiento. Y si el encargado falla y el responsable no puede acreditar que verificó esas garantías, el responsable responde.
Más allá del contrato: lo que realmente analiza la AEPD
Las resoluciones recientes de la Agencia Española de Protección de Datos (AEPD) han dejado de centrarse en la existencia del contrato. Ahora analizan su contenido, y lo que hay más allá del contenido: si el responsable realizó una verificación previa real del encargado, si existe supervisión continuada durante la relación y si hay evidencia documental de todo ello.
En distintos procedimientos sancionadores, la AEPD ha puesto de manifiesto la importancia de que los responsables dispongan de evidencias que acrediten la evaluación y supervisión de sus encargados del tratamiento, especialmente en relación con las medidas de seguridad aplicadas y la gestión de subcontrataciones.
Por no haber controlado que ese encargado subcontrató a su vez con terceros sin comunicarlo, en algunos casos, sin que el responsable lo supiera. Por no tener pactado ningún mecanismo de auditoría. En muchos de esos expedientes, el responsable tenía un contrato firmado. El problema era que ese contrato no le proporcionaba ningún control real sobre el tratamiento de datos.
Transferencias internacionales: cuando el riesgo trasciende el contrato
Muchas de las principales plataformas cloud, SaaS e inteligencia artificial operan en entornos globales y cuentan con estructuras internacionales complejas. Esto convierte el contrato de encargo en algo más que un documento contractual: también debe abordar adecuadamente los flujos internacionales de datos que pueden producirse durante la prestación del servicio.
Desde la sentencia Schrems II del TJUE, las cláusulas contractuales tipo han dejado de considerarse una solución automática para las transferencias internacionales de datos. Su utilización exige analizar si, en las circunstancias concretas de la transferencia, el nivel de protección ofrecido resulta esencialmente equivalente al garantizado dentro de la Unión Europea.
En la práctica, esta evaluación suele documentarse mediante un Transfer Impact Assessment (TIA), que permite identificar los riesgos asociados al país de destino y valorar la necesidad de medidas complementarias. La capacidad de acreditar dicho análisis puede resultar determinante ante una eventual actuación de la autoridad de control.
El Data Privacy Framework ha contribuido a facilitar determinadas transferencias hacia Estados Unidos, pero no elimina la necesidad de comprender cómo fluyen los datos, qué entidades intervienen en el tratamiento y qué garantías ofrece realmente cada proveedor tecnológico con acceso a datos personales.
Contratación tecnológica y protección de datos: dos caras de la misma moneda
Uno de los errores más habituales en la gestión de proveedores tecnológicos es tratar el contrato mercantil y el contrato de encargo como documentos independientes. Sin embargo, un contrato cloud correctamente negociado que no contemple adecuadamente los riesgos de protección de datos deja áreas críticas sin cubrir. Del mismo modo, un contrato de encargo impecable desde el punto de vista formal pierde gran parte de su utilidad si no está alineado con las condiciones técnicas y operativas del servicio.
La realidad es que la protección de datos y la contratación tecnológica ya no pueden analizarse por separado. El verdadero valor reside en integrar ambas perspectivas desde el inicio, construyendo modelos de gobernanza de datos que permitan gestionar de forma efectiva los riesgos asociados a proveedores, servicios cloud e inteligencia artificial.
Esta necesidad de supervisión resulta especialmente relevante en la contratación de soluciones de inteligencia artificial, donde intervienen múltiples proveedores, infraestructuras cloud, modelos de terceros y cadenas complejas de tratamiento de datos que exigen una visión integral del riesgo tecnológico y regulatorio.
Desde Baker Tilly trabajamos precisamente en esa intersección entre protección de datos, compliance, contratación tecnológica y gestión de riesgos, ayudando a las organizaciones a construir modelos de gobernanza adaptados a los desafíos de la economía digital.
Publicaciones
