Gestión de subencargados bajo el RGPD
Examinó a su proveedor, firmó el DPA y pasó al siguiente incendio. He hecho exactamente eso más veces de las que me gustaría admitir. El problema es que su proveedor depende de sus propios proveedores (alojamiento, envío de correo, analítica, herramientas de soporte) y, bajo el RGPD, esos subencargados también forman parte de su panorama de cumplimiento. En mi experiencia, la gestión de subencargados es donde muchos programas de privacidad por lo demás ordenados se vienen abajo en silencio.
Esta es una orientación práctica, no asesoramiento jurídico.
Al terminar esta guía, usted podrá:
- Entender qué es un subencargado y por qué el artículo 28 del RGPD lo convierte en asunto suyo.
- Conocer cómo funciona el modelo de aviso y objeción, y dónde se esconde el plazo.
- Disponer de un conjunto repetible de hábitos para mantener al día la lista de subencargados de cada proveedor.
- Ver cómo construir una pista de auditoría que resista cuando un cliente o un regulador pregunte.
Qué es realmente un subencargado
Un subencargado es un tercero que su encargado del tratamiento contrata para ayudar a tratar datos personales en su nombre. Si su proveedor de CRM se aloja en un proveedor de nube y usa un servicio independiente de envío de correo, ambos son subencargados de sus datos. Puede que nunca haya firmado nada con ellos, puede que nunca haya oído sus nombres y, sin embargo, los datos personales de sus clientes fluyen por sus sistemas.
El artículo 28 del RGPD establece las condiciones. Su encargado debe obtener su autorización antes de contratar a un subencargado, trasladar a esa parte condiciones equivalentes de protección de datos y seguir siendo responsable ante usted por lo que haga. Vale la pena detenerse en ese último punto. La cadena de responsabilidad vuelve hasta usted como responsable del tratamiento, de modo que un eslabón débil tres proveedores más abajo sigue siendo su problema cuando algo sale mal. Esta es la misma lógica que impulsa gran parte de la gestión de contratos de proveedores: la relación no termina en la firma, se extiende a todos aquellos en quienes se apoya su contraparte.
El modelo de aviso y objeción
La mayoría de los DPA gestionan la autorización con lo que se denomina autorización general. En lugar de pedir su permiso para cada nuevo subencargado de forma individual (lo que sería inviable a escala), el encargado mantiene una lista de subencargados y se compromete a notificarle las altas o sustituciones. Usted dispone entonces de una ventana, a menudo de 14 a 30 días, para oponerse antes de que el cambio surta efecto.
Esa ventana lo es todo. Si no la controla, no llega a usarla, y se considera que ha aceptado a una nueva parte que trata sus datos. La obligación es real, pero el mecanismo es fácil de pasar por alto, porque el aviso rara vez llega con ceremonia alguna. Reconocerá esto: aterriza como un correo rutinario, una línea al pie de una actualización de producto o una entrada en un registro de cambios de una página de estado que nadie de su equipo vigila. Para cuando alguien lo nota, la ventana se ha cerrado y el nuevo subencargado ya está operativo.
¿Qué puede hacer realmente dentro de esa ventana? En la práctica, unas cuantas cosas:
- Aceptar el cambio y dejar constancia de que lo revisó y aceptó.
- Oponerse por motivos razonables, lo que normalmente abre una conversación con el proveedor sobre alternativas.
- Escalar internamente si el nuevo subencargado se encuentra en una jurisdicción o trata una categoría de datos que activa sus propios umbrales de revisión.
La cuestión no es que vaya a oponerse a menudo. La mayoría de las veces no lo hará. La cuestión es que conserva el derecho a oponerse y puede demostrar que consideró cada cambio en lugar de atravesarlos dormido.
Mantener la lista al día
La gestión práctica de subencargados se reduce a tres hábitos.
Primero, sepa quién está hoy en la lista de cada proveedor y guárdela en algún sitio donde pueda encontrarla. Una instantánea que guardó durante la contratación hace dos años no es la lista actual. He comprobado que ayuda tratar el registro de subencargados de cada proveedor como un documento vivo adjunto al propio DPA, no como un anexo único que envejece y se desactualiza en una unidad compartida. Un repositorio de contratos centralizado es su hogar natural, porque la lista vive junto al acuerdo que la rige.
Segundo, capte los avisos de cambio y trate cada uno como una decisión con plazo en lugar de un simple "para su información". Este es el hábito que más a menudo falla, porque los avisos están diseñados para ser de baja fricción para el proveedor, no de alta visibilidad para usted.
Tercero, mantenga una pista de auditoría. ¿Cuál era la lista, cuándo cambió, le notificaron a tiempo y se opuso usted? Cuando llega un cuestionario de seguridad de un cliente o una solicitud de un regulador, esa pista es su prueba. Sin ella, está reconstruyendo la historia a partir de la memoria y la arqueología de la bandeja de entrada, y le prometo que es una mala tarde.
Esta es una forma sencilla de pensar en lo que produce cada hábito:
| Hábito | Lo que conserva | Por qué importa |
|---|---|---|
| Conocer la lista actual | Un registro fechado por proveedor | Responde a "¿quién toca nuestros datos ahora mismo?" |
| Captar los avisos | Una decisión registrada por cada cambio | Preserva su derecho a oponerse |
| Mantener la pista | Una cronología de cambios y respuestas | Pruebas para clientes y reguladores |
El más difícil de los tres es la pista de auditoría, porque los cambios de subencargados llegan a cuentagotas a lo largo de meses y entre muchos proveedores. Un aviso en marzo, dos en julio, una sustitución silenciosa en octubre. Mantener cada DPA, su lista actual de subencargados y la ventana de aviso de cambios en un solo lugar, vinculado al proveedor, es lo que hace esto manejable en lugar de abrumador. Eso es gran parte de lo que la gestión de acuerdos de tratamiento de datos está diseñada para hacer, y se integra en nuestro software de cumplimiento del RGPD más amplio para equipos que necesitan la imagen completa en lugar de un solo documento.
Dónde la extracción demuestra su valor
Hay un paso que pasé por alto arriba y que merece su propio momento. Cuando firma un nuevo DPA, las condiciones de subencargados (el plazo de preaviso, la ventana de objeción, dónde vive la lista, cómo se comunican los cambios) están enterradas en cláusulas densas que lee una vez y nunca vuelve a abrir. Sacar esos detalles a mano, para cada acuerdo, es el tipo de trabajo que se despriorizar en cuanto aparece algo más urgente.
Aquí es donde el análisis de contratos con IA cambia la economía. En lugar de que una persona lea el párrafo 9.3 de cada DPA para encontrar la ventana de objeción, la extracción de datos de contratos lo lee por usted y presenta las fechas y obligaciones como campos estructurados que puede supervisar. Para los equipos de cumplimiento en especial, ese cambio de la lectura manual a datos extraídos y rastreables es lo que hace que un programa de subencargados sobreviva al contacto con un trimestre ajetreado. Si esta es su responsabilidad, el caso de uso del responsable de cumplimiento recorre cómo encaja en un flujo de trabajo del día a día.
Una palabra rápida sobre la confianza, porque surge cada vez que los datos y la IA aparecen en la misma frase. Contracko está alojado en la UE, sus contratos están cifrados, el acceso es basado en roles y no entrenamos la IA con sus contratos. Las herramientas que leen sus DPA no los están introduciendo en silencio en un modelo en algún sitio. Puede leer más sobre ello en nuestra página de seguridad.
No pierda la ventana de objeción
El elemento más fácil de perder de todo esto es el plazo de objeción. Todo lo demás (las listas, la pista, el análisis) sirve de apoyo al único momento en que la inacción le cuesta un derecho que no puede recuperar. No puede oponerse a un cambio que no notó, y el calendario no se lo recordará por sí solo.
Una herramienta de recordatorios de DPA extrae de un acuerdo las ventanas de cambio de subencargados (junto con las fechas de revisión y los derechos de auditoría) y las convierte en recordatorios, de modo que un nuevo subencargado nunca se le escape mientras la ventana para oponerse sigue abierta. Es la diferencia entre gestionar a sus subencargados y descubrirlos a posteriori. Si quiere ver cómo se extiende este razonamiento al resto del riesgo contractual, nuestro artículo sobre los riesgos habituales en la gestión de contratos cubre el patrón más amplio.
Próximos pasos
Si sus listas de subencargados viven actualmente en una mezcla de bandejas de entrada, capturas de pantalla y buenas intenciones, empiece poco a poco. Elija sus tres proveedores de mayor riesgo, encuentre sus listas actuales de subencargados y anote la ventana de objeción de cada uno. Solo eso le dirá si ha estado captando los avisos o aceptando en silencio cambios que nunca vio.
Cuando esté listo para hacerlo sistemático en lugar de heroico, para eso construimos Contracko. Me gustaría sinceramente saber cómo está gestionando hoy los avisos de subencargados, porque no hay dos programas que lo hagan exactamente igual. No dude en escribirme si tiene preguntas, leo y respondo cada mensaje personalmente.
Empiece con Contracko
Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.