EVALUACIÓN DE LA SUBCONTRATACIÓN SEGÚN EL RGPD

El RGPD (Reglamento General de Protección de Datos) exige que las empresas que externalizan el tratamiento de datos personales a encargados del tratamiento se aseguren de proporcionar un nivel adecuado de protección de datos. Esto implica que las empresas deben evaluar el cumplimiento del RGPD por parte de sus encargados del tratamiento.

Para evaluar el cumplimiento de los subcontratistas, las empresas deben:

• Identificar a los subcontratistas que procesan datos personales en su nombre.
• Revisar los acuerdos de subcontratación existentes para asegurarse de que contengan todas las cláusulas obligatorias requeridas por el RGPD.
• Solicitar que los subcontratistas proporcionen información sobre sus prácticas de procesamiento de datos personales, como las medidas de seguridad implementadas, las políticas de privacidad, las prácticas de retención de datos, etc.
• Verificar que los subcontratistas hayan implementado medidas técnicas y organizativas apropiadas para proteger los datos personales procesados en nombre de la empresa.
• Verificar que los subcontratistas puedan responder a las solicitudes de ejercicio de los derechos de los interesados, como el derecho de acceso, rectificación, supresión y oposición.
• Evaluar periódicamente el cumplimiento de los subcontratistas y realizar auditorías in situ si es necesario.
• Mantener registros de procesamiento de datos que incluyan información sobre los subprocesadores y su cumplimiento.

En resumen, es fundamental que las empresas se aseguren de que sus subcontratistas cumplen con el RGPD para evitar violaciones de la protección de datos personales y mantener la confianza de sus clientes.

Los perfiles de los subcontratistas de la empresa para el tratamiento de datos personales pueden variar en función de las actividades de la empresa y sus necesidades de tratamiento. A continuación, se presentan algunos ejemplos de perfiles comunes de subcontratistas:

• Proveedores de servicios de TI que gestionan los sistemas de TI de la empresa, incluidos centros de datos, proveedores de nube, administradores de red, proveedores de servicios de respaldo, proveedores de servicios de soporte técnico, etc. En resumen, todos los socios que tienen acceso de una forma u otra a los datos personales de su empresa... Puede convertirse rápidamente en una gran cantidad de personas.
• Proveedores de servicios de marketing que gestionan campañas de marketing online, incluidas agencias de publicidad, agencias de marketing digital, proveedores de soluciones de segmentación de anuncios, proveedores de servicios de marketing por correo electrónico, administradores de redes sociales, etc.
• Proveedores de servicios de pago que gestionan las transacciones financieras de la empresa, incluidos bancos, proveedores de servicios de pago en línea, proveedores de soluciones de pago móviles, etc.
• Proveedores de servicios de RR.HH. que gestionan datos personales de empleados, incluidos proveedores de servicios de nómina, empresas de contabilidad, proveedores de soluciones de gestión de nómina, empresas de contratación, organizaciones de formación a las que encarga desarrollar las habilidades de sus empleados, pero también aquellos a quienes les confía entrevistas anuales, auditorías y evaluaciones de habilidades, proveedores de servicios de gestión de beneficios, etc.
• Proveedores de servicios de procesamiento de datos de clientes que manejan los datos personales de los clientes de la empresa, incluidos centros de llamadas, proveedores de servicios de gestión de encuestas, proveedores de servicios de procesamiento de datos de ventas, como empresas de entrega, etc.

Es importante que la empresa identifique a todos los subcontratistas que procesan datos personales en su nombre y se asegure de que garantizan un nivel adecuado de protección de datos, tal como lo exige el RGPD.