El RGPD va más allá de la política de privacidad
Muchas empresas creen que cumplir el RGPD (Reglamento General de Protección de Datos, conocido también como GDPR por sus siglas en inglés) es cuestión de tener un banner de cookies y una política de privacidad en la web. Es mucho más que eso. El RGPD impone obligaciones concretas en los contratos cada vez que hay transferencia o acceso a datos personales entre empresas.
Cuándo necesitas cláusulas de protección de datos en un contrato
Siempre que un proveedor, colaborador o socio vaya a tratar datos personales por tu cuenta o en tu nombre. Ejemplos habituales:
- Una agencia de marketing que gestiona tu CRM o envía emails a tus clientes
- Un proveedor SaaS que almacena datos de tus usuarios
- Un consultor externo con acceso a tu base de datos de empleados o clientes
- Una empresa de contabilidad que procesa nóminas con datos de empleados
- Un call center que atiende a tus clientes
El Acuerdo de Encargado de Tratamiento (DPA)
Cuando un proveedor trata datos personales por tu cuenta, el RGPD exige formalizar un Acuerdo de Encargado de Tratamiento (DPA, por sus siglas en inglés: Data Processing Agreement). Este acuerdo debe incluir obligatoriamente:
- Objeto y duración del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipo de datos personales y categorías de interesados
- Obligaciones y derechos del responsable (tu empresa)
- Obligaciones del encargado: tratar los datos solo según instrucciones del responsable, garantizar confidencialidad, implementar medidas de seguridad adecuadas, ayudar al responsable a cumplir sus obligaciones frente a los interesados, suprimir o devolver los datos al terminar la relación
- Subcontratación: si el encargado puede contratar a su vez a otros encargados, y bajo qué condiciones
- Transferencias internacionales: si los datos van a salir de la UE
Transferencias internacionales de datos
Si tu proveedor está fuera de la UE o almacena datos en servidores fuera de la UE (Estados Unidos, por ejemplo), necesitas garantías adicionales. Las opciones principales son:
- Decisión de adecuación: el país de destino tiene un nivel de protección equivalente al europeo (Reino Unido, Japón, Argentina...)
- Cláusulas contractuales tipo: modelos aprobados por la Comisión Europea que puedes incluir en el contrato
- Normas corporativas vinculantes: para transferencias dentro de un grupo empresarial multinacional
Sanciones por incumplimiento
Las sanciones del RGPD son de las más severas en regulación empresarial:
- Hasta 10 millones de euros o el 2% de la facturación global anual por infracciones menos graves
- Hasta 20 millones de euros o el 4% de la facturación global anual por infracciones graves
En España, la AEPD (Agencia Española de Protección de Datos) es la autoridad de control. Aunque las multas más grandes van a grandes empresas, las PYMEs también son sancionadas regularmente.
Cómo asegurarte de que las cláusulas han sido aceptadas
Incluir cláusulas de protección de datos en un contrato es el primer paso. El segundo es asegurarte de que la otra parte las ha leído y aceptado explícitamente. Con KLINQS puedes compartir el contrato que incluye el DPA y requerir aceptación verificable antes de dar acceso. El registro incluye email, timestamp e IP, lo que te da evidencia de cumplimiento en caso de inspección.