Protección de datos en los proveedores - Qué deben tener en cuenta las empresas

Casi todas las empresas manejan datos personales a diario. Se recogen, almacenan y procesan. El RGPD contiene normas uniformes de la UE que son urgentemente necesarias debido a la creciente globalización. Por tanto, se aplican las mismas normas a los socios comerciales, clientes y proveedores nacionales y extranjeros.

También se recogen y utilizan datos de los proveedores, sobre todo en compras. Esto incluye datos de contacto, listas de pedidos, datos bancarios y similares. Pero, ¿qué normativa se aplica aquí exactamente? ¿Cuál es la mejor manera de aplicarlos? Y a la inversa, ¿qué pueden hacer realmente los proveedores con sus datos? En este artículo le mostramos lo que debe tener en cuenta.

Los hechos más importantes en resumen
  • Al igual que ocurre con los clientes, los datos personales de los proveedores también deben protegerse.
  • En caso de incumplimiento de los requisitos del RGPD, las empresas se enfrentan a elevadas multas:  pueden imponerse sanciones de hasta 20 millones de euros o el 2 % de la facturación anual.
  • Las auditorías de proveedores son una herramienta para facilitar la selección y evaluación de proveedores. Esto puede mejorar y garantizar la protección de los datos.
  • Si los proveedores también son procesadores, los contratos de procesamiento de pedidos pasan a ser obligatorios. Estas regulan lo que el proveedor puede hacer con los datos. Está obligado por este contrato y su cumplimiento debe comprobarse anualmente.
Protección de datos en las compras: cómo proteger los datos personales

Cuando se compran bienes y componentes y se gestionan las entregas, suele haber siempre datos personales implicados. Desde 2018, el Reglamento Alemán de Protección de Datos (DSGVO) está en vigor para proteger estos datos y prescribe cómo debe tratarse determinada información.

Pero las normativas sobre protección de datos no solo existe desde 2018. El RGPD normaliza las normativas nacionales en toda Europa. Sin embargo, existen excepciones, las llamadas cláusulas de apertura.

La normalización tiene la ventaja, sobre todo para las empresas multinacionales, de que la misma normativa sobre protección de datos se aplica a los socios comerciales, proveedores y clientes con los que interactúan en otros países de la UE.

Por ejemplo, no tiene que preocuparse de si cumple la normativa de la legislación española (excepción de las cláusulas de apertura, por ejemplo, a menudo en derecho laboral y datos médicos), pero tampoco tiene que preocuparse de si sus datos están seguros en España.

¿Qué es la protección de datos?

La protección de datos describe principalmente la seguridad de los datos personales para que no sean accesibles a nadie del dominio público. Existe una base jurídica para el tratamiento de estos datos. Esto significa, por una parte, que sólo puede recogerse la cantidad mínima necesaria de datos y, por otra, que los datos recogidos deben estar protegidos contra el acceso de terceros.

En lenguaje llano, la protección de datos exige

  1. recoger únicamente los datos absolutamente necesarios (principio de minimización de datos),
  2. almacenar estos datos sólo durante el periodo de tiempo absolutamente necesario,
  3. adoptar las medidas de seguridad necesarias en todos los procesos de tratamiento de datos con el fin de protegerlos.
  4. Debe existir una base jurídica para el tratamiento (contrato, consentimiento, intereses legítimos, etc.).

Para ello, existen algunos requisitos que las empresas deben cumplir, como las evaluaciones de impacto sobre la protección de datos o los registros de tratamiento. Ya hemos escrito varios artículos sobre estos términos, que profundizan en el tema correspondiente.

Además, el afectado tiene derecho a determinar sus propios datos (autodeterminación informativa). Pueden, por ejemplo, revocar el consentimiento al tratamiento en cualquier momento o solicitar información sobre los datos almacenados.

¿Qué son los datos personales?

Los datos personales son cualquier información que pueda atribuirse a una persona física concreta y que proporcione información sobre esa persona. La información sobre religión, salud, afiliación sindical, sexualidad, origen étnico y opiniones políticas son especialmente dignas de protección.

No obstante, también son objeto de protección otros datos personales, en particular, en el caso de los proveedores:

  • Datos personales generales (nombres, fechas de nacimiento, números de teléfono, direcciones),
  • Números de identificación (número de la seguridad social, número de identificación fiscal, número del documento de identidad),
  • Datos bancarios,
  • Datos en línea (ubicaciones, direcciones IP, contraseñas),
  • Características físicas (color de piel, talla de ropa, sexo),
  • Datos patrimoniales (inscripciones en el registro de la propiedad, matrículas de vehículos, etc.)
  • Datos de clientes (pedidos, datos de cuentas, etc.)
  • Documentos (testimonios, escrituras, certificados) y mucho más.

¿Qué es la "privacidad desde el diseño" (“Privacy by Design”)?

El principio de "privacidad desde el diseño" describe la obligación de proceder en el desarrollo de productos de manera que el producto final recoja y almacene la menor cantidad posible de datos del usuario. Esto desempeña un papel en todos los dispositivos que deben o tienen que recoger información sobre sus usuarios y transmitir datos al fabricante.

Para que los productos se optimicen mediante el uso y la recopilación de datos, los fabricantes suelen necesitar el consentimiento de los usuarios. Para proteger la privacidad de los clientes, los fabricantes deben almacenar los datos de forma que ya no puedan atribuirse a una persona física, por ejemplo, anonimizándolos o seudonimizándolos.

Puede que no resulte obvio a primera vista, pero esto también se aplica a la forma en que compras gestiona los pedidos realizados a los proveedores. Esto se debe a que tanto los desarrolladores como el departamento de compras deben procurar seleccionar componentes, funcionalidades y, en consecuencia, también proveedores que tengan en cuenta el principio de "privacidad desde el diseño".

¿Quién es responsable de la protección de datos?

La propia empresa, y no el proveedor, es responsable del cumplimiento de los requisitos y principios legales. Esto también se aplica a la instalación de componentes de protección de datos. Los compradores, en particular, deben asegurarse de que los proveedores cumplen los requisitos del RGPD, aunque solo sea según sus propias declaraciones. Esto se aplica al hardware, pero también a los componentes de software.

El departamento de compras también debe comprobar, junto con los departamentos de desarrollo, producción y protección de datos, si las recopilaciones de datos previstas son necesarias o pueden reducirse al mínimo. También hay que tener en cuenta que una gran cantidad de datos también significa que la protección de los mismos será posteriormente más elaborada y costosa.

También debe comprobarse siempre si otros proveedores de servicios, como empresas de logística y servicios en la nube, cumplen los requisitos del RGPD. Por eso, antes de contratarlos, los responsables de compras y protección de datos deben comprobar que se cumplen todas las normativas y que no sólo los afectados, sino también la empresa, están protegidos por la ley de protección de datos.

Obtener el consentimiento de los proveedores

Los datos personales son diversos y se recogen en casi todas las empresas, especialmente en las compras y al interactuar con los proveedores. Incluso la firma de un pedido es personal y, por tanto, está sujeta a la protección de datos.

Por lo tanto, estos datos sólo podrán almacenarse durante el periodo del pedido y, a continuación, sobre la base de los periodos de conervación legales, tras lo cual deberán borarse.

Si se van a recopilar datos, por ejemplo, porque se va a introducir al proveedor en la base de datos o porque es necesario para acceder a los locales de la empresa, se debe informar exhaustivamente al proveedor sobre la recopilación de los datos y también se le debe instruir sobre su derecho de revocación. Esto suele hacerse haciendo referencia al aviso de protección de datos o adjuntándolo a los contratos pertinentes.

Quienes no cumplan las obligaciones legales deben esperar fuertes multas de hasta 20 millones de euros o el 2% de la facturación anual.

¿Qué obligaciones tienen las empresas?

La lista de obligaciones de las empresas es larga. Explicarlas en detalle sería demasiado largo. En nuestro sitio web encontrará artículos detallados sobre las obligaciones generales. Por lo tanto, a continuación sólo trataremos los puntos más importantes que intervienen en relación con los proveedores.

La recogida y el tratamiento de datos relativos a compras y entregas también deben registrarse en el registro de tratamiento (RAT). Además de la actividad, también debe indicarse la finalidad y las personas de contacto pertinentes.

Cualquiera que procese datos a gran escala debe, entre otras cosas, llevar a cabo una evaluación de impacto de la protección de datos, es decir, una evaluación de riesgos que determine si existe una relación fin-medio. Sólo podrá llevarse a cabo legalmente si el equilibrio entre los derechos y libertades de los afectados y los intereses económicos de la empresa es favorable a ésta.  

Con respecto a todo tratamiento, deben establecerse medidas técnicas y organizativas en las estructuras de la empresa que protejan los datos personales de la mejor manera posible y minimicen o, si es posible, incluso eliminen por completo los riesgos del tratamiento de datos. Esto también se aplica a los datos de los proveedores, así como a los datos que se transfieren a los proveedores. La protección al cien por cien nunca es posible, pero debería acercarse.

Si se produce una violación de la protección de datos, los proveedores también deben ser informados lo antes posible si sus datos se ven afectados. Las empresas deben desarrollar e integrar un plan de emergencia para ello, que pueda recuperarse automáticamente en caso de duda. Esto también incluye ponerse en contacto con la autoridad supervisora responsable

Nuestro equipo ya ha creado miles de RAT y estará encantado de ayudarle. Empiece ahora mismo con el plan de emergencia adecuado y póngase en contacto Con nuestros Plataforma de Protección de Datos de Priverion tendrá todo bajo control en todo momento.

Información sobre protección de datos para proveedores

Una de las cuestiones más importantes para las empresas y los proveedores es el suministro de avisos de protección de datos o información sobre protección de datos para el tratamiento de los datos personales de los contactos de los proveedores.

Se trata de información de acceso público, por ejemplo en el sitio web, a la que se puede acceder en cualquier momento para informarse sobre la protección de datos.

En esta página encontrará regularmente la siguiente información:

  1. Responsable del tratamiento: aquí debe figurar el nombre, la dirección y los datos de contacto en relación con el tratamiento de los proveedores y su información.
  2. Delegado de protección de datos: aquí encontrará los datos de contacto de la empresa o del responsable externo de la protección de datos. En parte, la información se solapa con la del responsable del tratamiento, pero aun así debe figurar dos veces para crear transparencia.
  3. Recogida y tratamiento de datos personales Enumera qué categorías de datos se recopilan y almacenan y a partir de qué fuentes de datos.
  4. Finalidad del tratamiento de datos y fundamento jurídico: Aquí encontrará la finalidad del tratamiento y los requisitos jurídicos asociados. En el caso de los proveedores, los datos suelen recopilarse con el fin de iniciar, establecer y procesar relaciones comerciales.
  5. Destinatarios de los datos: Los destinatarios deben clasificarse y nombrarse aquí. Si procede, los datos se transmiten a terceros como clientes, abogados, subcontratistas, notarios, autoridades, empresas de auditoría, asesores fiscales o similares durante el procesamiento. En las grandes empresas, puede ocurrir que las filiales transmitan datos a las empresas matrices o viceversa. Esto también debe tenerse en cuenta.
  6. Transferencia a terceros países: debe indicarse si se transfieren datos a terceros países, a cuáles y a quién exactamente.
  7. Periodo de almacenamiento: debe describirse durante cuánto tiempo se almacenarán los datos. Basta con una declaración de que los datos sólo se almacenarán durante el periodo legalmente permitido, es decir, sólo durante el periodo necesario, o si las obligaciones de conservación así lo exigen.
  8. Derechos de los afectados: Informe a sus proveedores de que tienen derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición.
  9. Uso de la página de inicio: consulte la información general sobre protección de datos en la página de inicio.
  10. Información sobre el derecho de oposición: También es obligatorio facilitar información sobre el derecho de oposición de conformidad con el artículo 21 del RGPD.

En casos concretos, puede ser necesaria o útil más información, como las cláusulas de modificación, la toma de decisiones automatizada o los requisitos de prestación.

¿Qué es una auditoría de proveedores?

Una auditoría de proveedores es un instrumento de evaluación y selección de proveedores nuevos o existentes. Aquí se comparan las condiciones reales de los proveedores con las condiciones objetivo y se dividen en diferentes categorías, como gestión, personal, equipamiento técnico, etc.

De este modo, se pueden filtrar los errores, las lagunas y las posibilidades de mejora. Por tanto, el objetivo de una auditoría de proveedores suele ser:

  • Evaluación
  • Selección
  • Desarrollo
  • Optimización
  • Garantía de calidad

Atención: durante una auditoría de proveedores de este tipo, se recopilan grandes cantidades de datos que pueden estar sujetos a la protección de datos. Al final, para la evaluación deben utilizarse datos de los proveedores y de la empresa.

Si se recurre a un proveedor de servicios para dicha auditoría, en este caso se debe velar por la elaboración de un contrato para la gestión de pedidos que garantice que el proveedor de servicios externo cumple los requisitos del RGPD.

Una auditoría de proveedores tiene sentido, también en lo que respecta a la protección de datos. Esto se debe a que dicha auditoría también sirve para evaluar si los proveedores cumplen con el RGPD o si existe potencial de mejora.

¿Qué obligaciones de protección de datos tienen los proveedores?

Como empresa, los proveedores también están sujetos, por supuesto, a las obligaciones legales del RGPD con respecto a sus clientes. Así pues, los proveedores solo podrán almacenar, tratar y utilizar los datos personales de sus clientes si el RGPD lo permite.

Como siempre, esto sólo es así si la recogida y el tratamiento de los datos son necesarios. También en este caso, los datos sólo pueden almacenarse durante el tiempo que requiera la relación comercial. Por tanto, la cuestión de la finalidad y la proporcionalidad de la recogida de datos también se plantea para los proveedores.

Especialmente en el caso de los proveedores, a menudo se plantea la cuestión de la divulgación de datos. En general, los proveedores, como todas las empresas, deben poder demostrar una base jurídica cuando recojan, almacenen y traten sus datos.

También en otros aspectos, los proveedores están sujetos a los mismos derechos y obligaciones que las demás empresas. Esto es especialmente relevante cuando se cruzan las fronteras de la UE. Por tanto, los clientes también deben procurar trabajar con proveedores que observen y cumplan los principios del RGPD.

Conclusión

En principio, los proveedores tienen los mismos derechos y obligaciones en virtud del RGPD que todos los demás afectados y empresas. Todas las empresas deben velar por el cumplimiento del RGPD. 

Sin embargo, algunas de las disposiciones del RGPD son especialmente importantes para las relaciones comerciales de y con los proveedores, por lo que también deben recibir una atención especial.

Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese