Subcontratistas del RGPD: Por qué evaluar a sus proveedores de servicios se ha convertido en un aspecto vital para su negocio.
La externalización del procesamiento de sus datos a un proveedor de servicios nunca exime a la empresa de sus responsabilidades. Desde 2021, la CNIL ha aumentado las sanciones contra las organizaciones que no habían evaluado o regulado adecuadamente sus Subcontratista del RGPD 1 millón de euros contra Mobius Solutions en diciembre de 2025, 1,5 millones de euros contra Dedalus Biologie, 600.000 euros contra Canal+ Group, 800.000 euros contra Discord. El mensaje es claro: externalizar el procesamiento de datos personales no está delegando el cumplimiento.
Para los gerentes, el problema ha pasado de los asuntos legales a la gestión de riesgos. Evaluar a los proveedores de servicios, formalizar el acuerdo de subcontratación del RGPDSupervisar la cadena de suministro a lo largo del tiempo: se trata de obligaciones legales cuyo incumplimiento resulta costoso.
Comprender el papel del subcontratista del RGPD y sus obligaciones.
¿Quién es un subcontratista en el sentido del RGPD?
El RGPD define al encargado del tratamiento de datos como cualquier persona física o jurídica que procesa datos. datos personales a nombre de controlador de datosTan pronto como un proveedor de servicios accede, aloja, analiza o almacena datos personales que usted le confía, él es un subcontratista: proveedores de alojamiento en la nube, editores de SaaS, proveedores de nóminas, agencias de marketing, centros de llamadas, CRM, proveedores de correo electrónico, empresas de mantenimiento de TI.
La frontera con el estatus de controlador de datos No siempre es obvio. Un proveedor de servicios que decide sobre el propósito o los medios del procesamiento de datos pasa a una categoría superior y, por lo tanto, asume la plena responsabilidad. Esta es precisamente la trampa en la que cayó Mobius Solutions Ltd, multada con un millón de euros por la CNIL En diciembre de 2025, fue sancionada por reutilizar datos de Deezer para mejorar sus propios servicios, sin recibir instrucciones de su cliente.
Las obligaciones del subcontratista, tal como se describen en el Artículo 28.
El artículo 28 del RGPD enumera específicamente los obligaciones del subcontratista : actuar únicamente sobre instrucciones documentadas, garantizar la confidencialidad del personal autorizado, implementar medidas de seguridad técnicas y organizativas apropiadas, asistir a la controlador de datos en la gestión de los derechos de las personas y la denuncia de infracciones, la eliminación o devolución de datos al final del servicio y el mantenimiento de un registro. registro de actividades de procesamiento específico de su actividad.
Esta última obligación suele pasarse por alto. Sin embargo, la CNIL (Autoridad Nacional de Informática y Libertades de Francia) la ha citado en varias sanciones recientes, incluido el caso de Mobius Solutions. No llevar un registro implica privarse de la principal prueba de cumplimiento en caso de auditoría.
Subcontratación en cascada: la autorización previa es obligatoria.
Un subcontratista solo puede contratar a un subcontratista posterior ("cascada") con autorización previa por escrito, específica o general, de la controlador de datosEn el caso de autorización general, el proveedor debe informar al cliente de cualquier cambio para que pueda presentar objeciones. Un proveedor de SaaS que dependa de un proveedor de alojamiento en la nube, el cual a su vez utiliza un subproveedor de monitorización, debe poder documentar cada eslabón de la cadena.
La obligación de evaluar a los subcontratistas: un deber que con demasiada frecuencia se descuida.
Una obligación explícita y estructurante del RGPD
El artículo 28, párrafo 1 del RGPD es inequívoco: controlador de datos «Solo se contratan subcontratistas que ofrecen garantías suficientes». Esto no es una recomendación, sino una obligación. Antes de firmar un contrato, el administrador debe asegurarse de que su proveedor de servicios cuente con las habilidades, los procedimientos y la organización necesarios para procesar los datos de acuerdo con la normativa.
Esto implica un procedimiento de evaluación formalizado: cuadrícula de criterios, cuestionario de cumplimiento, solicitud de documentos de respaldo (política de seguridad, certificaciones, DPA, registro, designación de un OPD), análisis de subcontratistas posteriores, verificación de la ubicación del servidor y cualquier posible transferencias de datos fuera de la UE. Esta evaluación debe ser registrada y conservada; sin ella, el gerente no podrá demostrar ni su diligencia ni su cumplimiento del principio de rendición de cuentas.
Sanciones de la CNIL que deberían alertar a los gerentes
En 2024, el CNIL Emitió 87 sanciones por un total de más de 55 millones de euros. Varios casos recientes demuestran que la evaluación y regulación de sus proveedores de servicios se ha convertido en un área clave de control.
El caso de Dedalus Biologie (abril de 2022, 1,5 millones de euros) sigue siendo emblemático. CNIL La Autoridad Francesa de Competencia sancionó a esta empresa de software para laboratorios médicos tras una filtración masiva de datos sanitarios. Más allá del fallo de seguridad, la principal razón aducida fue la ausencia de las cláusulas obligatorias del artículo 28 en sus contratos estándar. Esta decisión marcó un punto de inflexión: ahora se puede sancionar directamente a un subcontratista por no formalizar adecuadamente la relación contractual, independientemente de la responsabilidad del cliente.
El caso de Mobius Solutions Ltd / Deezer (diciembre de 2025, 1 millón de euros) ilustra las deficiencias más frecuentes: retención de datos más allá de la finalización del contrato, procesamiento fuera de las instrucciones del cliente, falta de registro, falta de medidas de seguridad que llevaron a la publicación de los datos de varios millones de usuarios en la dark web.
El caso Discord (2022, 800.000 €) está dando lugar a sanciones por parte de la controlador de datos la ausencia de un contrato conforme al Artículo 28. Canal+ Group, multado con 600.000 € en 2022, fue penalizado en particular por la falta de acuerdos contractuales suficientes. A partir del 27 de enero de 2021, el CNIL inauguró su doctrina sancionando simultáneamente una controlador de datos (150.000 €) y su subcontratista (75.000 €) por no tomar medidas contra el relleno de credenciales.
Qué examina la CNIL en sus auditorías
A medida que se toman decisiones, la red de control de la CNIL Los detalles se han aclarado. La autoridad está verificando la existencia de un Acuerdo de subcontratación del RGPD escrito y conforme al Artículo 28, la documentación de las instrucciones, la lista actualizada de subcontratistas posteriores, las medidas técnicas y organizativas efectivamente implementadas, los procedimientos de notificación para un violación de datos, las disposiciones para ayudar a las personas con sus derechos, las condiciones para la rescisión del contrato y la trazabilidad de las auditorías realizadas.
Para preparar a su organización para estos puntos de control, nuestro Guía completa para las auditorías de cumplimiento del RGPD Detalla la metodología que se aplicará.
¿Desea garantizar la seguridad de su cadena de subcontratación y demostrar su cumplimiento normativo?
Creación de un marco contractual sólido: el acuerdo de subcontratación del RGPD
Las cláusulas obligatorias del artículo 28, párrafo 3
El Acuerdo de Procesamiento de Datos (DPA), O Acuerdo de subcontratación del RGPDdebe incluir un conjunto básico de cláusulas exigidas por el reglamento: objeto y duración del tratamiento, naturaleza y finalidad, tipo de datos y categorías de personas, obligaciones y derechos del responsable del tratamiento. controlador de datosTambién debe incluir ocho compromisos específicos por parte del subcontratista: actuar conforme a las instrucciones documentadas, garantizar la confidencialidad, adoptar las medidas de seguridad necesarias, contratar subcontratistas posteriores solo con autorización, ayudar a responder a las solicitudes de particulares, prestar asistencia en materia de seguridad y notificación, devolver o eliminar los datos al finalizar el contrato y poner a disposición toda la información necesaria para las auditorías.
Los términos y condiciones estándar de una editorial suelen ser insuficientes, como por ejemplo: CNIL Dedalus y otros proveedores de servicios, que posteriormente fueron sancionados, fueron criticados por esto. Es fundamental realizar una revisión contrato por contrato.
Errores que se deben evitar al escribir
Varios errores suelen socavar el cumplimiento. Una cláusula que exime totalmente al subcontratista de responsabilidad no es ejecutable contra el CNIL en cuanto a la víctima de una fuga. Una lista faltante o desactualizada de subcontratistas posteriores expone la controlador de datos a un fracaso. Las medidas de seguridad descritas vagamente son insuficientes: CNIL espera un documento de referencia concreto, verificable y fechado. La ausencia de un procedimiento de notificación de infracción o plazos incompatibles con las 72 horas impuestas al controlador de datos, se retiene sistemáticamente contra los subcontratistas que incumplen sus obligaciones.
El papel central del DPO y la gobernanza de datos
EL OPD El responsable de protección de datos (RPD) desempeña un papel fundamental: lidera la evaluación de los proveedores de servicios, valida las cláusulas contractuales, supervisa el registro de subcontratistas y alerta a la dirección sobre los riesgos. En ausencia de OPDEstas misiones deben ser llevadas a cabo por una función claramente identificada. gobernanza de datos Depende en gran medida de esta capacidad para mantener la relación con los subcontratistas a lo largo del tiempo.
Gestión de la relación a lo largo del tiempo: auditorías, seguimiento e incidentes.
Una obligación continua, no una formalidad de firma.
Incluirlo en un contrato no es suficiente. controlador de datos debe garantizar con el tiempo que su proveedor de servicios respete sus compromisos: auditorías periódicas, revisión anual de los DPA, actualización sistemática en caso de cambio (nuevo subcontratista posterior, nuevo alcance, nueva ubicación del servidor).
Allá CNIL es explícito: el uso de un subcontratista nunca exime de responsabilidad controlador de datos de su deber de diligencia. La sanción a Canal+ se basó precisamente en la constatación de que no se implementó una supervisión efectiva de los proveedores de servicios. Por el contrario, una empresa capaz de elaborar informes de auditoría, cuestionarios completos y planes de acción demuestra su diligencia, incluso en caso de incidente.
EL Módulo de subcontratistas de Viqtor Centraliza la evaluación, el contrato, los subcontratistas posteriores, las auditorías y el historial de intercambios en un único repositorio.
Cómo responder a una violación de datos que involucra a un proveedor de servicios.
Una proporción significativa de las infracciones reportadas cada año a la CNIL implica un subcontratista. El controlador de datos Por lo tanto, es imprescindible incluir un sistema de alerta rápida en el contrato desde el principio. El subcontratista está obligado a informar a su cliente "lo antes posible", lo que en la práctica significa entre 24 y 48 horas para que la notificación se realice dentro del plazo legal de 72 horas. CNILNuestra página dedicada a la declaración sobre violación de datos Él detalla los pasos.
Lo que debes tener en cuenta
- Cualquier proveedor de servicios que se ocupe de datos personales para su cuenta es un Subcontratista del RGPDy conlleva tanto tu responsabilidad como la suya.
- La evaluación previa de un subcontratista es una obligación explícita según el artículo 28, apartado 1, del RGPD, no una buena práctica.
- EL Acuerdo de subcontratación del RGPD (DPA) Deben incluirse todas las cláusulas obligatorias del artículo 28; las condiciones generales estándar casi nunca son suficientes.
- Las sanciones CNIL Casos recientes (Mobius 1 millón de euros, Dedalus 1,5 millones de euros, Canal+ 600.000 euros, Discord 800.000 euros) demuestran que la autoridad sanciona tanto a los proveedores de servicios que incumplen sus obligaciones como a los clientes negligentes.
- El cumplimiento se demuestra mediante documentación: registros, auditorías, informes y planes de acción.
- Una relación de subcontratación se gestiona a lo largo del tiempo, no solo en el momento de la firma.
Preguntas frecuentes — Subcontratista del RGPD
¿Cuáles son las obligaciones de un subcontratista según el RGPD?
El subcontratista debe actuar únicamente siguiendo instrucciones documentadas de la controlador de datos, garantizar la confidencialidad, implementar medidas de seguridad apropiadas, mantener un registro de sus actividades, asistir a su cliente en la gestión de derechos y violaciones, utilizar subcontratistas posteriores solo con autorización por escrito y devolver o eliminar los datos al final del contrato.
¿Puede un subcontratista utilizar a otro subcontratista (subcontratación en cascada)?
Sí, con autorización previa por escrito de la controlador de datosAutorización específica o general. En caso de autorización general, el subcontratista deberá informar a su cliente de cualquier cambio para que este pueda presentar objeciones. El subcontratista inicial seguirá siendo plenamente responsable del cumplimiento de las obligaciones del subcontratista posterior y deberá imponerle las mismas obligaciones contractuales.
¿Qué sanciones afronta un subcontratista por incumplimiento del RGPD?
Un subcontratista puede ser sancionado por la CNIL hasta 10 millones de euros o 2.140.000 euros de su facturación anual mundial, lo que sea mayor. Mobius Solutions Ltd (1 millón de euros en diciembre de 2025) y Dedalus Biologie (1,5 millones de euros en abril de 2022) son ejemplos recientes. El subcontratista también puede ser considerado responsable ante las personas físicas afectadas en virtud del artículo 82.
¿Qué cláusulas deben incluirse en un contrato de subcontratación conforme al RGPD?
EL DPA Debe describir el objeto, la duración, la naturaleza y la finalidad del tratamiento, las categorías de datos y las personas afectadas, e incorporar los ocho compromisos del artículo 28, apartado 3: instrucciones documentadas, confidencialidad, seguridad, supervisión de los subencargados del tratamiento, asistencia en el ejercicio de los derechos de las personas, asistencia en la notificación, devolución o destrucción de los datos al finalizar el contrato y suministro de información para auditorías. Debe adjuntarse la lista de subencargados del tratamiento.
¿Cómo elegir un subcontratista que cumpla con el RGPD para una PYME?
La evaluación se basa en algunos criterios clave: la existencia de un DPA conforme, presencia de un OPDUbicación de los datos (preferiblemente en la UE), certificaciones de seguridad (ISO 27001, HDS para el sector sanitario), una lista actualizada de subcontratistas, referencias e historial de incidentes. Un cuestionario de cumplimiento formal, debidamente cumplimentado y archivado, sirve como prueba de su diligencia debida en caso de auditoría.
¿Cuáles son las responsabilidades de un proveedor de alojamiento en la nube como subcontratista del RGPD?
Un proveedor de alojamiento en la nube que aloja datos personales Para un cliente, se trata de un subcontratista. El subcontratista debe garantizar la seguridad (cifrado, control de acceso, copias de seguridad), informar al cliente en caso de una violación de seguridad, supervisar a los subcontratistas posteriores, permitir la portabilidad y la eliminación efectiva de los datos, y proporcionar transparencia en cuanto a la ubicación y las transferencias de datos. Para los datos de salud, se requieren certificaciones específicas como HDS.
Evaluar, supervisar y gestionar a los subcontratistas no es algo que se pueda improvisar.
Para obtener más información: encuentre todos nuestros recursos sobre el cumplimiento del RGPD en el Plataforma Viqtor.