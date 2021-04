El Outsourcing está sujeto a la normativa nacional e internacional en materia de protección de datos (LOPDGDD y RGPD). En el contrato de outsourcing es clave que se recoja una cláusula acerca de la protección de datos, en especial cuando se ceden datos personales En la actualidad, muchas empresas optan por el Outsourcing de algunos de sus servicios. Recurren a terceros expertos para que profesionales cualificados realicen esas tareas. La externalización reporta numerosos beneficios a las empresas entre los que destacan una mayor eficiencia, calidad o rentabilidad al centrarse en su actividad principal.

El proceso de selección de un proveedor de servicios externo debe incluir la debida diligencia del tercero, una evaluación de riesgos y una revisión de los términos y condiciones propuestos para garantizar que la empresa no esté expuesta a riesgos indebidos. Un proceso que puede requerir el asesoramiento de algunos miembros de la empresa con experiencia en derecho contractual, informática, seguridad de la información, protección de datos y recursos humanos.

Los procesos de externalización o de outsourcing conllevan, en muchas ocasiones, traslados de archivos y datos sensibles de la empresa con información personal relevante que ha de cumplir con los reglamentos y normativa vigente nacional y comunitaria. El acceso a datos, por cuenta de un tercero, conlleva la prestación de un servicio por parte de una tercera empresa al responsable del fichero que accede a los datos del fichero para el cumplimiento de la prestación contratada. Al externalizar ciertas actividades de procesamiento de datos a otra organización, se es responsable del tratamiento de datos y el tercero es el encargado del tratamiento de datos. Cualquier organización que procese los datos personales de los residentes de la UE está sujeta al Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) debe cumplir con sus requisitos.

En el outsourcing, son transcendentales los aspectos legales del acuerdo suscrito por la empresa demandante y la prestataria de estos servicios. Uno de los key players, apuntan desde Hasten Group, es el cumplimiento normativo, en su mayoría los servicios susceptibles de externalización en materia de tecnología se ven afectados por normativa como: la de protección de datos de carácter personal, normativas sectoriales u otras de carácter más específico en materia de seguridad de la información o continuidad de negocio.

La “salida” de datos personales ha de producirse con las debidas garantías. Siempre que la relación profesional suponga acceso a datos personales que la empresa establezca con terceros externos, es trascendental asegurar y reflejar en el correspondiente contrato de prestación de servicios todos los condicionantes indicados en la normativa: tratar los datos conforme a las instrucciones del responsable del tratamiento; no utilizarlos con un fin distinto al estipulado en el referido contrato, ni comunicarlos ni siquiera para su conservación a otras personas; cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos y no podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo. De no existir en el contrato, la empresa contratante ha de establecer una cláusula específica, por escrito, de Protección de Datos que haga referencia al destino, uso y posibilidades de tratamiento de los datos personales de su empresa o negocio.

Desde Hasten Group hacen especial hincapié en: valorar con antelación, siempre y con mucha cautela, la idoneidad del proveedor de un servicio y si en su país cuenta con normativa referente a protección de datos que garantice una protección adecuada en relación con el estándar europeo. Asimismo, confirman que la cláusula de protección de datos es un elemento clave de todo contrato de Outsourcing, debido a que la mayoría de los clientes son titulares de ficheros que contienen datos de carácter personal que suelen ser tratados por el prestador en su rol de encargado del tratamiento. Además, en todo momento han de cumplir la ley 3/2018, Ley de Protección de Datos Personales y Garantía de los Derechos Digital (LOPDGDD) y el Reglamento General de Protección de Datos europeo 2016/679 (RGPD), estas normativas no impiden ni limitan el Outsourcing relacionado con el tratamiento de datos personales, sino que establecen unos mínimos que deben ser atendidos por los responsables del tratamiento en beneficio de todos los interesados.

Por último, desde la consultora, destacan que el RGPD ha simplificado la realización de transferencias internacionales de datos, pues el legislador europeo ha sido consciente de la importancia que este tipo de servicios en Outsourcing tiene para la competitividad de las empresas europeas.

