La importancia de un inventario de encargados de tratamiento

La importancia de un inventario de encargados de tratamiento

Según la Disposición adicional decimocuarta de la de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GGD), todos aquellos contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (derogada) y todavía vigentes deberían ser conformes, antes del 25 de este mes, a lo dispuesto en el artículo 28 del Reglamento General de Protección de Datos, así como la ley orgánica indicada anteriormente.

Esto implica que las organizaciones, sean del sector público o privado, e independientemente de si actúan como responsables o encargados del tratamiento (no hay que olvidar la obligación del encargado de colaborar en el cumplimiento de las obligaciones del responsable), deben asegurarse de que, antes del día 25 del presente mes, todos todos aquellos contratos formalizados antes del 25 de mayo de 2018 incluyan todos los aspectos que establece el artículo 28(3) del Reglamento General de Protección de Datos.

Para facilitar dicha tarea, el Delegado de Protección de Datos de la organización (o la persona que tenga encomendada o ejerza su funciones) debería contar con un inventario o registro de todos aquellos proveedores (encargados) que traten datos personales por cuenta de su entidad (responsable), con objeto de que éste, dentro de su función de supervisar el cumplimiento del RGPD, pueda, primero, identificar de manera ágil aquellas relaciones de encargo que deban ser actualizadas (según la disposición adicional decimocuarta de la LOPD-GDD)  y, segundo, indicar a las unidades de negocio correspondientes los pasos a seguir para dicha actualización.

La elaboración y mantenimiento de un inventario o registro de encargados no es una obligación expresa de la normativa de protección de datos, como sí que ocurre con el registro de actividades del tratamiento, artículo 30 del RGPD, o el inventario de violaciones de seguridad, artículo 33(5) del mismo.

Ahora bien, bajo el principio de responsabilidad proactiva (necesidad de aplicación de medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que las actividades de tratamiento son conforme con el Reglamento), el inventario de encargados de tratamiento es una herramienta útil para controlar que los encargados del tratamiento cumplan con las obligaciones derivadas del contrato de encargo y las disposiciones en materia de protección de datos.

Por otro lado, dicho inventario o registro puede ponerse a disposición de la autoridad de control correspondiente para facilitar las actividades de supervisión que pueda realizar ésta en el ámbito de los poderes otorgados por el RGPD, según el artículo 58 del Reglamento General de Protección de Datos.  

Tomando como base lo contemplado en el artículo 28.3 del Reglamento General de Protección de Datos, el inventario de encargados del tratamiento puede contar con la siguiente información (información que, en algunos casos, debe coincidir con la que consta en el contrato de encargo):

  1. Nombre del encargado: Identificación del proveedor de servicios (denominación social).
  2. NIF: Número de identificación fiscal (clave que permite identificar al encargado para la realización de actividades mercantiles en España).
  3. Domicilio social: Lugar de gestión y dirección del encargado del tratamiento.
  4. Representante: En caso de que el encargado no esté establecido en la Unión Europea, nombre y datos de contacto del representante designado, según lo exigido en el artículo 27 del RGPD.
  5. Datos de contacto del Delegado de Protección de Datos (DPD): En caso que proceda, nombre y datos de contacto del Delegado de Protección de Datos del encargado del tratamiento.
  6. Persona interna responsable del encargado: Nombre y datos de contacto de la persona de la organización responsable de procurar, formalizar y/o controlar la relación con el encargado.
  7. Fecha de formalización del contrato de encargo: Fecha en la cual se formaliza el contrato o acto jurídico similar que regula la relación entre el responsable y el encargado del tratamiento.
  8. Fecha de finalización del contrato: Indicación sobre la duración del contrato de encargo.
  9. Servicios prestados: Descripción de los servicios que tienen una afectación en los datos personales bajo la responsabilidad de la organización, así como la concreción de las operaciones de tratamiento.
  10. Actividades de tratamiento: Identificación de la actividad o las actividades de tratamiento relacionadas con el encargado (referencia a los tratamientos documentados en el registro de actividades de tratamiento).
  11. Sistemas y aplicaciones: Recursos propiedad del encargado del tratamiento puestas a disposición del responsable con relación a los servicios a ser prestados (por ejemplo, Office 365 o MailChimp).
  12. Categorías de interesados y datos personales: Identificación de los colectivos de personas físicas titulares de los datos y los datos personales afectados por el encargo. Se recomienda indicar si los interesados pertenecen a un colectivo especialmente vulnerable (en particular niños) o si el encargo afecta a categorías especiales de datos personales (por ejemplo, datos relativos a la salud o datos biométricos) o aquellos relativos a condenas e infracciones penales.
  13. Ubicación del tratamiento: Identificación de los países donde tienen lugar las diferentes operaciones de tratamiento objeto del encargo (como, por ejemplo, el almacenamiento de los mismos), con la finalidad de tener controlada y regularizada cualquier posible transferencia internacional de datos.
  14. Nivel de riesgo: En función del tipo de interesado, sensibilidad de los datos o el uso de nuevas tecnologías, innovadoras o no suficientemente maduras o la ubicación del tratamiento realizado por el encargado, entre otros criterios, asignación de un nivel de riesgo (bajo, medio, alto y muy alto) al encargado que pueda implicar la adopción de medidas adecuadas y de control adicionales o más estrictas para salvaguardar los derechos y libertades y los intereses legítimos de los interesados.
  15. Régimen de la subcontratación: Documentación de la existencia (o no) de una autorización para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado y la naturaleza de esta autorización (específica o general).
  16. Responsable del ejercicio de los derechos: Indicación sobre si corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes de ejercicio de derechos en materia de protección de datos (acceso, rectificación, rectificación, etc.) o si únicamente su obligación es comunicar al responsable la recepción de una petición de ejercicio de derecho.
  17. Plazo máximo de notificación de las violaciones de seguridad: Plazo dentro del cual el encargado debe notificar al responsable cualquier violación de seguridad, teniendo en cuenta que dicha notificación debe ser inferior a 72 horas (plazo máximo que se debe notificar una brecha de seguridad a la autoridad de control).
  18. Persona responsable y medio de notificación de las violaciones de seguridad: Persona dentro de la organización que debe recibir la notificación de la violación de seguridad sufrida por el encargado del tratamiento y dar inicio al proceso de gestión de incidentes establecido, así como el medio a través de cual debe realizarse dicha notificación (correo electrónico, sistema de ticketing, teléfono, etc.).
  19. Responsable de notificar a la Autoridad de protección de Datos: Referencia sobre si corresponde al encargado del tratamiento comunicar las violaciones de seguridad de los datos a la autoridad de protección de datos que corresponda.
  20. Responsable de notificar a los interesados: Indicación sobre si corresponde al encargado del tratamiento comunicar, en el menor tiempo posible, las violaciones de seguridad a las personas afectadas (cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de ésta).
  21. Marco o estándar de medidas de seguridad aplicables: Referencia a las medidas de seguridad que debe implantar el encargado del tratamiento para proteger los datos personales contra la destrucción, pérdida o alteración accidental o ilícita de éstos, o la comunicación o acceso no autorizados de los mismos, pudiéndose indicar un marco o estándar de seguridad específico (ISO 27001, Esquema Nacional de Seguridad, etc.).
  22. Destino de los datos: Indicación de la acción que debe realizar el encargado del tratamiento respecto a los datos personales una vez finalice el contrato de encargo (destrucción o devolución de los datos).  
  23. Fecha de la última inspección o auditoría: Fecha en la cual el responsable del tratamiento ejecutó la última actuación para verificar que el encargado del tratamiento mantiene los conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento General de Protección de Datos, incluida la seguridad del tratamiento.
  24. Resultado de la última inspección o auditoría y medidas de subsanación de defectos: Identificación de las posibles deficiencias detectadas durante la inspección o auditoría y las medidas a ser adoptadas por el encargado del tratamiento para subsanar éstas.
  25. Fecha de la próxima inspección o auditoría: Plazo de tiempo que debe transcurrir desde la última inspección o auditoría para la realización de una nueva, tomando en consideración el nivel de riesgo asignado al encargado del tratamiento.
  26. Garantías facilitadas: Información o documentación puesta disposición del responsable antes o durante el encargo para demostrar que el encargado cumple con sus obligaciones, así como aquella facilitada dentro del marco una inspección o auditoría. También se puede indicar la posesión por parte del encargado de un certificado de protección de datos o la adhesión a un código de conducta, entre otros.

Para una gestión más eficiente del inventario de encargados del tratamiento, y la monitorización de los riesgos que puedan derivarse de la relación con éstos, se recomienda la utilización de herramientas, como OneTrust, que permitan la creación y el mantenimiento de forma ágil y centralizada de un inventario de proveedores, la automatización de la alimentación de dicho inventario (mediante evaluaciones) y la configuración de reglas que permitan la activación de acciones (como, por ejemplo, la necesidad de realizar una auditoría) en base a ciertas condiciones (fecha de la última evaluación o nivel de riesgo ddel encargado).

En caso de no contar con un inventario de proveedores como el descrito anteriormente, los responsables del tratamiento tienen, si no lo han hecho ya, una ardua tarea (y poco tiempo) por delante para regularizar los contratos entrados en vigor con anterioridad a 25 de mayo de 2018.


Si te ha parecido interesante este artículo, puede que te interese Evaluación del encargado del tratamiento.


Bruno Auferil

Abogado especializado en Protección de datos y Derecho de las TIC en  Grupo SIA.

Egilde Sequera

IT Legal Advisor. Digital Risk. Lead Auditor 27001.

2 años

¡Excelente artículo!. Ha sido de gran utilidad.

Hay que inventariar las cosas, tener control absoluto de lo que se hace y lo que no. Pero siempre atendiendo a los recursos que disponemos. No sirve de nada querer inventariarlo absolutamente todo para luego no darle un efectivo mantenimiento, que se desactualicen los registros y que se convierta en algo meramente enunciativo, incómodo de manejar y pesado de llevar al día. (Que es lo que suele pasar)

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas