Firmar un contrato del artículo 28 no completa la diligencia del responsable. La organización debe seleccionar encargados con garantías suficientes y ser capaz de demostrar que el tratamiento sigue siendo conforme mientras dure la relación. La intensidad de la auditoría se adapta al riesgo, pero siempre debe existir información suficiente sobre roles, medidas de seguridad, subencargados, transferencias internacionales, incidentes y condiciones de salida.
Paso 1. Confirmar el rol real
Los conceptos de responsable y encargado del tratamiento son funcionales, no etiquetas contractuales. Un proveedor que decide fines propios sobre los datos puede ser responsable para esa actividad concreta, aunque el contrato lo llame encargado.
Conviene responder a estas preguntas para cada proveedor:
- ¿Quién decide la finalidad del tratamiento?
- ¿Quién decide los medios esenciales del tratamiento?
- ¿El proveedor usa los datos para analítica propia, publicidad o para entrenar sus propios sistemas?
- ¿Combina datos de distintos clientes?
- ¿Atiende siempre las instrucciones recibidas?
- ¿Existe corresponsabilidad en el tratamiento?
El rol puede variar según el servicio concreto que preste el mismo proveedor.
Inventario de proveedores
Antes de auditar hay que saber a quién auditar. El inventario debe recoger, como mínimo, estos campos:
| Campo | Contenido |
|---|---|
| Servicio | CRM, nómina, cloud, soporte |
| Datos | Categorías y volumen tratado |
| Personas | Clientes, plantilla, menores |
| Acceso | Alojamiento, acceso remoto, API |
| Países | Centros de tratamiento y soporte |
| Subencargados | Identidad y función de cada uno |
| Criticidad | Impacto y dependencia operativa |
| Contrato | Versión vigente y fecha de renovación |
| Propietario | Área responsable de la relación |
Sin este inventario no puede priorizarse ninguna auditoría.
Clasificar el riesgo
La prioridad de cada proveedor depende de varios criterios combinados:
- Tratamiento de categorías especiales de datos.
- Tratamiento a gran escala.
- Datos de menores.
- Capacidad del proveedor para tomar decisiones sobre las personas.
- Acceso privilegiado a los sistemas.
- Alta dependencia operativa del proveedor.
- Transferencias internacionales de datos.
- Cadena de subencargados larga.
- Dificultad para cambiar de proveedor.
- Historial de incidentes o incumplimientos.
Los proveedores críticos reciben una revisión documental y técnica más profunda, y un seguimiento más frecuente.
Contrato del artículo 28
El contrato con el encargado del tratamiento debe cubrir, al menos:
- Objeto y duración del tratamiento.
- Naturaleza y finalidad del tratamiento.
- Tipo de datos e interesados afectados.
- Instrucciones del responsable.
- Obligación de confidencialidad.
- Medidas de seguridad.
- Condiciones para la incorporación de subencargados.
- Asistencia con el ejercicio de los derechos de los interesados.
- Notificación de brechas de seguridad.
- Apoyo en evaluaciones de impacto y consultas previas a la autoridad.
- Devolución o supresión de los datos al finalizar el contrato.
- Derecho de información y de auditoría.
No basta con reproducir el texto del artículo 28: el contrato debe describir el servicio real que se presta.
Instrucciones
Las instrucciones del responsable deben cubrir la configuración del servicio, los países de tratamiento, los plazos de retención, las copias de seguridad, el soporte técnico y las condiciones de finalización. Conviene versionarlas y registrar quién aprueba cada cambio.
Si el proveedor considera que una instrucción es contraria a la normativa, debe informar al responsable. Si actúa al margen de las instrucciones recibidas, puede llegar a asumir responsabilidades propias como responsable del tratamiento.
Subencargados
El responsable debe conocer la identidad y la localización de toda la cadena de subencargados relevante. Cuando existe una autorización general, el encargado debe informar de los cambios y ofrecer la oportunidad de oponerse a ellos.
Conviene comprobar que las mismas obligaciones del contrato principal se trasladan a cada subencargado y que existe capacidad real de control sobre toda la cadena. Una simple mención genérica a «proveedores líderes del sector» no es una lista suficiente.
Seguridad
Conviene solicitar evidencia proporcional al riesgo del tratamiento sobre:
- Arquitectura de seguridad del servicio.
- Gestión de identidad y autenticación multifactor.
- Cifrado de los datos.
- Gestión de vulnerabilidades y aplicación de parches.
- Segregación de entornos y de clientes.
- Registro de actividad (logs).
- Copias de seguridad y pruebas de restauración.
- Prácticas de desarrollo seguro.
- Planes de continuidad de negocio.
- Pruebas de seguridad periódicas.
- Certificaciones de seguridad y su alcance.
Un certificado no sustituye la revisión de si su alcance cubre realmente el producto contratado, la región y el periodo de vigencia.
Transferencias
Conviene mapear los países donde se tratan los datos, el acceso remoto desde terceros países y el mecanismo de transferencia utilizado. Si existen cláusulas contractuales tipo, hay que revisar sus anexos, la evaluación de impacto de la transferencia y las medidas suplementarias aplicadas. Que el proveedor esté ubicado en la Unión Europea no excluye que reciba soporte técnico desde fuera de ella.
Derechos
Conviene probar un caso real de principio a fin, comprobando la capacidad del proveedor de:
- Localizar los datos de una persona concreta.
- Exportarlos en un formato utilizable.
- Rectificarlos.
- Suprimirlos o limitarlos.
- Proteger los datos de terceros implicados.
- Responder dentro del plazo legal.
La promesa contractual debe funcionar técnicamente, incluyendo cuando existen copias de seguridad de por medio.
Brechas
El proveedor debe notificar cualquier brecha de seguridad sin dilación indebida, con tiempo suficiente para que el responsable evalúe sus propias obligaciones de notificación. El procedimiento debe definir el canal de contacto, el contenido de la notificación, las actualizaciones posteriores y la evidencia que se conserva.
Conviene simular la pérdida de una credencial o una exposición de datos y comprobar cómo escala el proveedor la incidencia.
Conservación y borrado
Conviene diferenciar entre datos activos, copias de seguridad, registros y archivo histórico. Al finalizar la relación con el proveedor deben quedar garantizados:
- Una exportación de los datos en formato utilizable.
- La revocación de accesos.
- La devolución de los datos.
- El borrado efectivo.
- Un certificado o evidencia del borrado.
- El tratamiento de las copias de seguridad.
- El cierre de la relación con los subencargados.
El bloqueo de la salida por facturas pendientes del proveedor no justifica conservar datos del cliente sin base para ello.
Derecho de auditoría
El derecho de auditoría puede ejercerse mediante cuestionario, revisión de evidencias, informe de un tercero independiente, entrevista, prueba técnica o visita presencial. Se adapta al riesgo del tratamiento y debe proteger la seguridad de la información.
El proveedor no puede bloquear toda posibilidad de auditoría alegando confidencialidad, aunque sí puede acordar condiciones razonables para llevarla a cabo.
Puntuación
Una forma de ordenar la revisión es ponderar cada área según su peso en el riesgo global:
| Área | Peso |
|---|---|
| Roles y contrato | 15 |
| Seguridad | 25 |
| Subencargados | 15 |
| Transferencias | 15 |
| Derechos y conservación | 10 |
| Incidentes | 10 |
| Continuidad y salida | 10 |
Los fallos críticos son eliminatorios, aunque la puntuación media del proveedor sea alta.
Seguimiento
La auditoría no termina con el informe. Conviene reabrir la revisión ante determinados disparadores:
- Renovación del contrato.
- Incorporación de un nuevo subencargado.
- Un incidente de seguridad.
- Cambio de región de tratamiento.
- Una nueva finalidad de uso de los datos.
- Una adquisición o cambio societario del proveedor.
- Un cambio material en el servicio.
- Un deterioro financiero del proveedor.
Cada disparador debe registrar la acción a tomar, el responsable y el plazo.
Plan de auditoría
Semana 1
Definición del alcance, el rol del proveedor y el nivel de riesgo.
Semana 2
Revisión del contrato, los subencargados y las transferencias internacionales.
Semana 3
Revisión de la seguridad, la continuidad y pruebas técnicas.
Semana 4
Elaboración del informe, plan de acción y decisión sobre el proveedor.
Errores frecuentes
- Confiar en la marca o reputación del proveedor sin comprobar evidencias.
- Clasificar el riesgo únicamente según lo que dice el contrato.
- No conocer la identidad de los subencargados.
- Aceptar certificados de seguridad sin comprobar su alcance.
- No revisar las transferencias internacionales de datos.
- No probar realmente el ejercicio de los derechos de los interesados.
- Aceptar un plazo de notificación de brechas insuficiente.
- No planificar la salida o el cambio de proveedor.
- Auditar al proveedor una sola vez y no repetirlo.
- No cerrar el seguimiento de las acciones detectadas.
Checklist
- Confirmar el rol real del proveedor.
- Elaborar el inventario y clasificar la criticidad.
- Revisar que el contrato esté completo.
- Documentar las instrucciones.
- Identificar a los subencargados.
- Revisar la seguridad y solicitar evidencias.
- Mapear las transferencias internacionales.
- Probar los derechos de los interesados.
- Revisar el procedimiento de brechas.
- Definir la conservación y el plan de salida.
- Planificar el seguimiento posterior.
Preguntas frecuentes
¿Hay que auditar a todos los proveedores por igual?
No. La intensidad de la auditoría debe ser proporcional al riesgo, pero todos los proveedores deben ofrecer garantías suficientes.
¿Basta con que el proveedor tenga la certificación ISO 27001?
No. Ayuda, pero debe revisarse su alcance y si cubre realmente los requisitos de privacidad del tratamiento.
¿Debe el responsable conocer a todos los subencargados?
El Comité Europeo de Protección de Datos (EDPB) subraya que el responsable debe disponer de información sobre la identidad de toda la cadena de subencargados para poder cumplir sus propias obligaciones.
¿Se puede auditar un proveedor de servicios en la nube de gran tamaño?
Sí, combinando informes de terceros, certificaciones, revisión del contrato, evidencias documentales y condiciones razonables para ejercer el derecho de auditoría.
Fuentes consultadas
- RGPD, artículo 28 (EUR-Lex)
- AEPD: directrices para contratos entre responsables y encargados
- EDPB: directrices sobre los conceptos de responsable y encargado
- AEPD: guía de privacidad desde el diseño
Summum Consultoría puede ayudar a priorizar, auditar y hacer seguimiento de los proveedores que tratan datos personales, dentro del acompañamiento como DPO externo y del gobierno del dato de la empresa.