Casi todas las empresas manejan datos personales a diario. Estos se recogen, almacenan y procesan. El RGPD contiene normas uniformes para toda la UE, que son urgentemente necesarias debido a la creciente globalización. Así, se aplican las mismas normas a los socios comerciales, clientes y proveedores nacionales y extranjeros.

También se recogen y utilizan datos de proveedores, sobre todo en compras. Esto incluye datos de contacto, listas de pedidos, datos bancarios y similares. Pero, ¿qué normativas se aplican aquí exactamente? ¿Cuál es la mejor manera de aplicarlas? Y a la inversa, ¿qué pueden hacer los proveedores con sus datos? Este artículo le muestra lo que debe tener en cuenta.

¿Necesita ayuda individual? Nuestro equipo está formado por expertos en derecho de protección de datos, informática y seguridad. Estaremos encantados de ayudarle a aplicar la normativa de protección de datos. Póngase en contacto con nosotros directamente para una consulta inicial sin compromiso.

Resumen de los hechos más importantes

  • Al igual que ocurre con los clientes, los datos personales de los proveedores también deben protegerse.
  • En caso de incumplimiento de los requisitos del GDPR, las empresas se enfrentan a multas elevadas: pueden imponerse sanciones de hasta 20 millones de euros o el 2 % de la facturación anual.
  • Las auditorías de proveedores son una herramienta para facilitar la selección y evaluación de proveedores. Esto puede mejorar y garantizar la protección de los datos.
  • Si los proveedores también son procesadores, los contratos de procesamiento de pedidos pasan a ser obligatorios. Estas regulan lo que el proveedor puede hacer con los datos. Está obligado por este contrato y su cumplimiento debe comprobarse anualmente.

Protección de datos en las compras: Cómo proteger los datos personales

Por lo general, siempre hay datos personales implicados cuando se adquieren bienes y componentes, y se gestionan las entregas. Desde 2018, el Reglamento General de Protección de Datos (RGPD) está en vigor para proteger estos datos y dictar cómo debe tratarse determinada información.

Pero la normativa sobre protección de datos no solo existe desde 2018. El RGPD normaliza las normativas nacionales en toda Europa. Sin embargo, existen excepciones, las llamadas cláusulas de apertura.

La normalización tiene la ventaja, sobre todo para las empresas multinacionales, de que la misma normativa sobre protección de datos se aplica a los socios comerciales, proveedores y clientes con los que interactúan en otros países de la UE.

Por ejemplo, no tiene que preocuparse de si cumple la normativa de la legislación española (salvo las cláusulas de apertura, por ejemplo, a menudo en derecho laboral y datos médicos), pero tampoco de si sus datos están seguros en España.

¿Qué es la protección de datos?

La protección de datos describe principalmente la seguridad de los datos personales para que no sean accesibles a nadie del dominio público. Existe una base jurídica para el tratamiento de estos datos. Esto significa, por una parte, que sólo puede recogerse la cantidad mínima necesaria de datos y, por otra, que los datos recogidos deben estar protegidos contra el acceso de terceros.

En lenguaje llano, la protección de datos exige,

  1. recoger únicamente los datos absolutamente necesarios (principio de minimización de datos),

  2. almacenar estos datos sólo durante el tiempo absolutamente necesario,

  3. adoptar las medidas de seguridad necesarias para proteger los datos en todos los procesos de datos.

  4. debe existir una base jurídica para el tratamiento (contrato, consentimiento, intereses legítimos, etc.).

Para ello, existen algunos requisitos que las empresas deben cumplir, como las evaluaciones de impacto sobre la protección de datos o registros de actividades de tratamiento Ya hemos escrito varios artículos sobre estos términos, que profundizan en el tema correspondiente.

Además, el afectado tiene derecho a determinar sus propios datos (autodeterminación informativa). Pueden, por ejemplo, revocar el consentimiento al tratamiento en cualquier momento o solicitar información sobre los datos almacenados.

¿Qué son los datos personales?

Los datos personales son cualquier información que pueda atribuirse a una persona física concreta y que proporcione información sobre esa persona. La información sobre religión, salud, afiliación sindical, sexualidad, origen étnico y opiniones políticas son especialmente dignas de protección.

Pero también son objeto de protección otros datos personales; en el caso de los proveedores, se trata en particular de:

  • Datos personales generales (nombres, fechas de nacimiento, números de teléfono, direcciones),
  • Números de identificación (número de la seguridad social, número de identificación fiscal, número del documento de identidad),
  • Datos bancarios,
  • Datos en línea (ubicaciones, direcciones IP, contraseñas),
  • Características físicas (color de piel, talla de ropa, sexo),
  • Datos de la propiedad (inscripciones en el catastro, matrículas de vehículos, etc.)
  • Datos del cliente (pedidos, datos de cuentas, etc.)
  • Documentos (testimonios, escrituras, certificados) y mucho más.

Qué es “Privacy by Design”?

El principio de “Privacy by Design”describe la obligación de desarrollar productos para que el producto final recoja y almacene la menor cantidad posible de datos del usuario. Este principio se aplica a todos los dispositivos que recogen información sobre sus usuarios y deben transmitir datos al fabricante. Como empresa, siempre debe preguntarse para qué necesita los datos y si existen otros medios (con menos datos personales) para lograr el fin previsto.

Para optimizar los productos mediante el uso y la recopilación de datos, los fabricantes suelen necesitar el consentimiento de los usuarios. Para proteger la privacidad de los clientes, los fabricantes deben almacenar los datos de modo que ya no puedan atribuirse a una persona física, por ejemplo, anonimizándolos o seudonimizándolos.

Puede que no resulte obvio a primera vista, pero esto también se aplica a la forma en que compras gestiona los pedidos realizados a los proveedores. Esto se debe a que tanto los desarrolladores como el departamento de compras deben procurar seleccionar componentes, funcionalidades y, en consecuencia, también proveedores que tengan en cuenta el principio de “privacy by design”.

¿Quién es responsable de la protección de datos?

La empresa, y no el proveedor, es responsable del cumplimiento de los requisitos y principios legales. Esto también se aplica a la instalación de componentes de protección de datos. Los compradores, en particular, deben asegurarse de que los proveedores cumplen los requisitos del RGPD, aunque solo sea de acuerdo con sus declaraciones. Esto se aplica al hardware, pero también a los componentes de software.

El departamento de compras también debe comprobar, junto con los departamentos de desarrollo, producción y protección de datos, si las recopilaciones de datos previstas son necesarias o pueden reducirse al mínimo. También hay que tener en cuenta que una gran cantidad de datos también significa que la protección de los mismos será posteriormente más elaborada y costosa.

También debe comprobarse siempre si otros proveedores de servicios, como empresas de logística sino también daños para su servicios en la nube, Los datos personales son diversos y se recogen en casi todas las empresas, especialmente en las compras y al interactuar con los proveedores. Incluso la

Obtener el consentimiento de los proveedores

Los datos personales son diversos y se recogen en casi todas las empresas, especialmente en las compras y al interactuar con los proveedores. Incluso una firma de un pedido es personal y, por tanto, está sujeta a la protección de datos.

Por lo tanto, estos datos sólo podrán almacenarse durante el periodo del pedido y, a continuación, sobre la base de los periodos de conservación legales, tras lo cual deberán suprimirse.

Supongamos que hay que recoger datos, por ejemplo, para introducir al proveedor en la base de datos o porque es necesario para acceder a los locales de la empresa. En ese caso, el proveedor debe ser informado exhaustivamente sobre la recogida de datos e instruido sobre su derecho de revocación. Esto suele hacerse haciendo referencia o adjuntando la información sobre protección de datos a los contratos pertinentes.

Quienes no cumplan las obligaciones legales deben esperar fuertes multas de hasta 20 millones de euros o 2% de la facturación anual.

¿Qué obligaciones tienen las empresas?

La lista de obligaciones de las empresas es larga. Explicarlas todas en detalle sería demasiado largo aquí, pero en nuestro sitio web encontrará artículos detallados sobre las obligaciones generales. Por lo tanto, a continuación sólo trataremos los puntos más importantes que afectan a los proveedores.

La recogida y el tratamiento de los datos relativos a las compras y los suministros también deben registrarse en el registro de las actividades de tratamiento (ROPA). Además de la acción, también deben especificarse la finalidad y las personas de contacto pertinentes.

Cualquiera que procese datos a gran escala debe, entre otras cosas, llevar a cabo una evaluación del impacto de la protección de datos, es decir, una evaluación de riesgos que determina si existe una relación finalidad-medios. Sólo podrá llevarse a cabo legalmente si el equilibrio entre los derechos y libertades de los interesados y los intereses económicos de la empresa es favorable a ésta.  

Con respecto a todo tratamiento, deben establecerse medidas técnicas y organizativas en las estructuras de la empresa que protejan los datos personales de la mejor manera posible y minimicen o, si es posible, incluso eliminen por completo los riesgos del tratamiento de datos. Esto también se aplica a los datos de los proveedores, así como a los datos que se transfieren a los proveedores. La protección al cien por cien nunca es posible, pero debería acercarse.

En caso de violación de la protección de datos, los proveedores también deben ser informados lo antes posible si sus datos se ven afectados. Las empresas deben desarrollar e integrar un plan de emergencia para ello, que pueda recuperarse automáticamente en caso de duda. Esto también incluye ponerse en contacto con la autoridad supervisora responsable.

Nuestro equipo ya ha creado miles de ROPA y estará encantado de ayudarle. Empiece ahora mismo con el plan de emergencia adecuado y póngase en contacto con nuestro equipo para una consulta inicial sin compromiso. Con la Priverion Plataforma de protección de datos tendrá todo bajo control en todo momento.

SOLICITE HOY MISMO UNA INSTANCIA DE PRUEBA

Pruebe nuestra solución

Empezar

Información sobre protección de datos para proveedores

Una de las cuestiones esenciales para empresas y proveedores es el suministro de avisos de privacidad o información sobre protección de datos para el tratamiento de los datos personales de los contactos de los proveedores.

Se trata de información de acceso público, por ejemplo, en el sitio web, al que se puede acceder en cualquier momento para encontrar información sobre protección de datos.

En esta página encontrará regularmente la siguiente información:

  1. Controlador de datos: Aquí deben figurar el nombre, la dirección y los datos de contacto relacionados con el tratamiento de los proveedores y su información.
  2. Delegado de la protección de datos: los datos de contacto de la empresa o el delegado externo de la protección de datos. En algunos casos, la información se solapa con la del responsable del tratamiento, pero aun así debe figurar dos veces para crear transparencia.
  3. Recogida y tratamiento de datos personales: Enumera qué categorías de datos se recogen y almacenan a partir de qué fuentes de datos.
  4. Finalidad del tratamiento de datos y base jurídica: Aquí encontrará la finalidad del tratamiento y los requisitos legales asociados. En el caso de los proveedores, los datos suelen recopilarse para iniciar, establecer y gestionar relaciones comerciales.
  5. Destinatarios de los datos: Los destinatarios serán categorizados y nombrados aquí. En caso necesario, durante el tratamiento se transmiten datos a terceros, como clientes, abogados, subcontratistas, notarios, autoridades, empresas de auditoría, asesores fiscales o similares. En las grandes empresas, las filiales pueden transmitir datos a las empresas matrices o viceversa, lo que también debe señalarse.
  6. Transferencia a terceros países: debe indicarse si se transfieren datos a terceros países y a qué terceros países, y a quién exactamente.
  7. Periodo de almacenamiento: debe describirse durante cuánto tiempo se almacenarán los datos. En este caso basta con una declaración de que los datos sólo se almacenarán durante el plazo legalmente permitido, es decir, sólo durante el periodo necesario o si las obligaciones de conservación así lo exigen.
  8. Derechos de los interesados: Informe a sus proveedores de que tienen derecho de información, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición.
  9. Uso de la página web: consulte la información general sobre protección de datos en la página de inicio.
  10. Información sobre el derecho de oposición: también es obligatorio facilitar información sobre el derecho de oposición con arreglo al art. 21 del RGPD.

En casos concretos puede ser necesaria o útil más información, como las cláusulas de modificación, la toma de decisiones automatizada o los requisitos de provisión.

¿Qué es una auditoría de proveedores?

Una auditoría de proveedores es un instrumento de evaluación y selección de proveedores nuevos o existentes. Aquí se comparan las condiciones reales s de los proveedores con las condiciones objetivo y se dividen en diferentes categorías, como gestión, personal, equipamiento técnico, etc.

De este modo, se pueden filtrar los errores, las lagunas y el potencial de mejora. Por tanto, el objetivo de una auditoría de proveedores suele ser:

  • Evaluación
  • Selección
  • Desarrollo
  • Optimización
  • Garantía de calidad

Atención: Para la evaluación deben utilizarse datos de los proveedores y de la empresa. Durante una auditoría de proveedores se recopilan grandes cantidades de datos, que pueden estar sujetos a protección de datos.

Si se recurre a un proveedor de servicios para dicha auditoría, en este caso se debe velar por la elaboración de un contrato de procesamiento de pedidos ("contrato AV") que garantice que el proveedor de servicios externo cumple los requisitos del RGPD.

Una auditoría de proveedores tiene sentido, también en lo que respecta a la protección de datos. Esto se debe a que dicha auditoría también sirve para evaluar si los proveedores cumplen con el RGPD o si existe potencial de mejora.

¿Qué obligaciones de protección de datos tienen los proveedores?

Como empresa, los proveedores también están sujetos, por supuesto, a las obligaciones legales del RGPD con respecto a sus clientes. Así pues, los proveedores solo podrán almacenar, tratar y utilizar los datos personales de sus clientes si el RGPD lo permite.

Como siempre, esto sólo es así si la recogida y el tratamiento de los datos son necesarios. También en este caso, los datos sólo pueden almacenarse durante el tiempo que requiera la relación comercial. Por tanto, la cuestión de la finalidad y la proporcionalidad de la recogida de datos también se plantea para los proveedores.

Especialmente en el caso de los proveedores, a menudo se plantea la cuestión del intercambio de datos. En general, los proveedores, como todas las empresas, deben poder demostrar una base jurídica cuando recojan, almacenen y traten sus datos.

Por lo demás, queda por afirmar que los proveedores están sujetos a los mismos derechos y obligaciones que las demás empresas. Esto es especialmente relevante cuando se cruzan las fronteras de la UE. Por tanto, los clientes también deben procurar trabajar con proveedores que observen y cumplan los principios del RGPD.

Conclusión

En principio, los proveedores tienen los mismos derechos y obligaciones en virtud del RGPD que todos los demás sujetos de datos y empresas. Todas las empresas deben velar por el cumplimiento del RGPD. 

Algunas de las disposiciones del RGPD son especialmente importantes para las relaciones comerciales con los proveedores y, por lo tanto, deben recibir una atención especial.

¿Tiene preguntas abiertas sobre la protección de datos? Nuestro personal, con formación jurídica y técnica, le asesorará ampliamente sobre todas las cuestiones relacionadas con la ley de protección de datos. No dude en contactarnos en cualquier momento.

Artículos relacionados

Solicitar una demostración

+41 44 586 97 90

hello@www.priverion.com