C&Co. Logo

Contratos RGPD y Acuerdos de Encargado de Tratamiento

La mayor parte de las multas de protección de datos no nacen de fallos de la propia empresa, sino de negligencias cometidas por sus proveedores externos. En C&Co. Legal auditamos tu cadena de suministro (agencias, gestorías, software en la nube) y blindamos tu responsabilidad mediante contratos de Encargado de Tratamiento férreos, exigiendo garantías de seguridad para proteger tu patrimonio ante fugas de datos externas.

Blindaje jurídico ante terceros

1. Redacción de Contratos de Encargado (Art. 28 RGPD)

Elaboramos los contratos legales obligatorios entre tu empresa y tus proveedores externos que acceden a tus datos, limitando tu responsabilidad solidaria y estableciendo protocolos estrictos en caso de brechas de seguridad.

2. Regulación de Cesiones y Comunicación de Datos

Estructuramos jurídicamente los acuerdos entre responsables (Joint Controllers) o las cesiones de datos entre empresas de un mismo grupo, garantizando que el flujo de información corporativo cumpla la normativa.

3. Transferencias Internacionales de Datos

Auditamos el uso de servidores y herramientas SaaS extranjeras (EE.UU., LATAM) para legalizar las transferencias internacionales de datos mediante Cláusulas Contractuales Tipo (SCC) o mecanismos de adecuación aprobados.

¿Controlas a tus proveedores?

Ceder datos de clientes a una gestoría o un software sin un contrato de encargado del tratamiento es una sanción asegurada. Revisamos tu cadena de proveedores.

Dudas legales sobre encargados de tratamiento.

Respuestas técnicas sobre la responsabilidad ante proveedores (gestorías, software), transferencias internacionales de datos y requisitos legales de los acuerdos DPA.

Un Encargado del Tratamiento es cualquier proveedor externo que necesite acceder a los datos de tu empresa para prestarte un servicio. Ejemplos clásicos: tu gestoría laboral (accede a nóminas), tu empresa de mantenimiento informático, plataformas de email marketing o tu servicio de alojamiento web (hosting).

Si tu proveedor (encargado) sufre una fuga de datos, TÚ sigues siendo el Responsable ante tus clientes. Si no tenías firmado un Contrato de Encargado de Tratamiento legal y riguroso con ese proveedor, la AEPD te sancionará a ti por negligencia in eligendo (elegir mal al proveedor y no auditarlo).

Sí. Cuando usas herramientas SaaS globales, debes asegurarte de que tienen un Data Processing Agreement (DPA) que cumpla con el RGPD. Si los servidores de esa herramienta están fuera del Espacio Económico Europeo (ej. EE.UU.), entra en juego la normativa sobre Transferencias Internacionales de Datos.

El contrato debe detallar: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos, obligaciones de seguridad del proveedor, obligación de avisarte en caso de brecha de seguridad y qué hacer con los datos al finalizar el servicio (borrarlos o devolverlos).