¿Qué es un subprocesador?

Un subencargado del tratamiento es una entidad tercera contratada por un encargado del tratamiento para tratar datos personales en nombre de un responsable del tratamiento. Esta relación es vital en el contexto del RGPD, ya que amplía las responsabilidades de protección de datos a cualquier parte externa que un encargado del tratamiento pueda implicar en actividades de tratamiento.

Funciones y responsabilidades de un subprocesador

En virtud del RGPD, un subencargado del tratamiento debe cumplir las mismas obligaciones de protección de datos que se aplican al encargado del tratamiento original. Esto incluye garantizar que los datos se tratan de forma segura y únicamente para los fines especificados por el responsable del tratamiento. El encargado del tratamiento, a su vez, debe obtener el consentimiento previo por escrito del responsable del tratamiento antes de contratar a un subencargado, por lo que la transparencia y el cumplimiento son esenciales.

Subprocesadores y sus obligaciones legales

El uso de subencargados del tratamiento está estrictamente regulado por el RGPD. Antes de contratar a un subencargado, el responsable del tratamiento debe informar al responsable del tratamiento y obtener una autorización específica. Además, los subencargados del tratamiento deben cumplir las condiciones del acuerdo de tratamiento de datos, que les obliga a respetar el mismo nivel de protección de datos que el encargado del tratamiento ha acordado con el responsable del tratamiento.

Analogía del subprocesador

Tenemos un niño, un padre y un juguete. Imaginemos que el juguete es un dato personal. El niño es el que juega con el juguete, tiene acceso a él y puede decidir dónde guardarlo. Sin embargo, los padres son los verdaderos propietarios del juguete y deciden lo que el niño puede y no puede hacer con él.

‍

En la protección de datos, el juguete son los datos, el niño es el encargado del tratamiento y el padre el responsable del tratamiento. Esto significa que el responsable del tratamiento establece las normas sobre cómo el encargado del tratamiento puede utilizar los datos, y el encargado del tratamiento debe atenerse a esas normas.

Ejemplo de subprocesador: Google Drive

Los subprocesadores son habituales en diversos sectores en los que se requieren servicios especializados. Por ejemplo, supongamos que usted utiliza Google Drive. Google Drive (procesador) elige en qué servidores almacenar los datos y qué medidas de seguridad aplicar, pero en última instancia usted decide qué datos subir a Google Drive, cuándo editarlos y cuándo eliminarlos, lo que le convierte en el responsable del tratamiento.

Nota: No es necesario que un procesador almacene datos personales para ser considerado como tal; basta con transmitir o acceder a los datos. Por ejemplo, herramientas de integración como Zapier o Integromat también se consideran procesadores.

¿En qué se diferencia un subprocesador de un procesador?

Un encargado del tratamiento es una parte que trata datos personales por cuenta del responsable del tratamiento, siguiendo directamente las instrucciones de éste. En cambio, un subencargado del tratamiento es un tercero contratado por el encargado del tratamiento para realizar tareas específicas de tratamiento por cuenta del responsable del tratamiento.

Mientras que el encargado del tratamiento tiene una relación directa con el responsable del tratamiento, el subencargado es contratado por el encargado del tratamiento para gestionar determinados aspectos del tratamiento de datos. Ambos están sujetos a los requisitos del RGPD, pero sus funciones y responsabilidades difieren en función de su relación con el responsable del tratamiento.

Ejemplo: Digamos que Google Drive utiliza Amazon Web Services para ejecutar sus servidores y Mailchimp para enviarle un correo electrónico cuando alguien le da acceso a un archivo. En este caso, Amazon Web Services y Mailchimp son procesadores de Google Drive.

Cuando utilizamos un procesador como Google Drive, llamamos subprocesadores a los procesadores que utilizan para prestarle un servicio (en este caso, Amazon Web Services y Mailchimp) .

Recapitulando: los subprocesadores son los procesadores de sus procesadores.

¿Por qué necesita saber quiénes son sus subprocesadores?

Si en su empresa actúa como encargado del tratamiento (la mayoría de los SaaS son encargados del tratamiento), entonces necesita tener un Acuerdo de Tratamiento de Datos, que es un acuerdo exigido por la ley que establece sus responsabilidades y las del responsable del tratamiento.

En este acuerdo debe especificar quiénes son sus propios encargados del tratamiento, ya que serán subencargados del tratamiento para sus clientes. También deberá incluir: la finalidad para la que contrata a estas empresas y los países en los que se tratan los datos.

En nuestro ejemplo - en su Acuerdo de Procesamiento de Datos Google Drive tendrá:

Principales conclusiones

En este artículo, le hemos ayudado a comprender la siguiente información sobre los subprocesadores:

• Los subencargados del tratamiento son terceros contratados por los encargados del tratamiento para tratar datos personales en nombre de los responsables del tratamiento, ampliando así las responsabilidades derivadas del RGPD.
• Deben cumplir las mismas obligaciones de protección de datos que los encargados del tratamiento, incluida la obtención de autorización y el cumplimiento de los acuerdos de tratamiento de datos.
• Una gestión adecuada de los subencargados del tratamiento garantiza el cumplimiento, la transparencia y la protección de los datos personales, reduciendo los riesgos organizativos.

Subprocesadores - Preguntas frecuentes

¿Cuál es la función principal de un subprocesador?

Un subencargado del tratamiento asiste al encargado principal del tratamiento encargándose de tareas específicas de tratamiento de datos en nombre del responsable del tratamiento. Debe cumplir las mismas normas de protección de datos que el encargado principal.

¿Es necesario que un subprocesador cumpla el GDPR?

Sí, los subencargados del tratamiento deben cumplir la normativa del GDPR y garantizar que los datos personales se tratan de forma segura y de conformidad con el contrato establecido entre el responsable del tratamiento y el encargado principal del tratamiento.

¿Se puede contratar a un subencargado del tratamiento sin el consentimiento del responsable del tratamiento?

No, el responsable del tratamiento debe dar su consentimiento previo por escrito antes de que un encargado del tratamiento pueda contratar a un subencargado.

¿Qué ocurre si un subencargado del tratamiento incumple el RGPD?

Si un subencargado del tratamiento incumple el RGPD, el encargado principal del tratamiento puede ser considerado responsable, y el subencargado puede enfrentarse a sanciones. Es fundamental que tanto el encargado como el subencargado del tratamiento cumplan el RGPD.

¿Son comunes los subprocesadores en todas las industrias?

Los subprocesadores se utilizan en muchos sectores, sobre todo cuando se necesitan servicios especializados, como en la computación en nube, el análisis de datos y los servicios de marketing.