El encargado del tratamiento ocupa, en el marco del Reglamento General de Protección de Datos, una posición que va mucho más allá de la imagen tradicional de un prestador externo que realiza meramente operaciones técnicas. En una economía digital en la que las infraestructuras en la nube, las plataformas SaaS, los proveedores de servicios gestionados, los centros de datos, los proveedores de ciberseguridad, los sistemas de recursos humanos, los procesadores de pagos, las tecnologías de marketing y los servicios especializados de analítica soportan una parte sustancial del tratamiento operativo de datos, el encargado del tratamiento se sitúa en el centro mismo de la cadena de riesgo digital. La calificación jurídica como encargado del tratamiento sigue estando formalmente vinculada al tratamiento realizado por cuenta del responsable del tratamiento, pero su relevancia práctica se ha vuelto considerablemente más intensa. Un encargado del tratamiento puede tener acceso a conjuntos de datos extensos, gestionar sistemas críticos, determinar configuraciones de seguridad, facilitar el registro de logs, detectar violaciones de datos personales, ejecutar procesos de recuperación y recurrir a subencargados dentro de cadenas internacionales. De este modo, su función incide directamente en la fiabilidad, la continuidad, la confidencialidad, la disponibilidad y la controlabilidad. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, esta posición reviste una importancia particular, porque los datos personales no solo son sensibles desde la perspectiva de la protección de la privacidad, sino que también constituyen un objetivo atractivo para el fraude, la suplantación de identidad, la toma de control de cuentas, el phishing, el ransomware, la compromisión del correo electrónico empresarial y otros riesgos de criminalidad digital. Por ello, el encargado del tratamiento no es una parte contractual periférica, sino un eslabón cuya calidad contribuye a determinar si los datos personales permanecen efectivamente protegidos frente al abuso, la manipulación, la pérdida y el acceso no autorizado.
La cuestión central al recurrir a un encargado del tratamiento no consiste únicamente en verificar si existe un acuerdo de tratamiento de datos, sino en determinar si la relación real se ha estructurado de forma suficientemente gobernable, verificable y exigible. Un acuerdo meramente documental, sin control operativo, ofrece poca protección cuando siguen siendo inciertos el lugar en que se almacenan los datos, los subencargados que intervienen, la forma en que se notifican los incidentes, las normas de seguridad aplicables, la manera en que se implementan los cambios en el servicio y el modo práctico en que pueden ejercerse los derechos de los interesados. Por ello, el Reglamento General de Protección de Datos atribuye gran importancia a las instrucciones, la seguridad, la confidencialidad, el control de la cadena, la asistencia, la terminación de la relación y la demostrabilidad. Estas obligaciones no deben entenderse como cláusulas contractuales aisladas, sino como requisitos interdependientes de gobernanza que determinan si el tratamiento externalizado de datos puede llevarse a cabo de forma responsable. En el contexto de la Gestión Integrada de Riesgos de Criminalidad Digital, esto significa que las relaciones con encargados del tratamiento deben evaluarse desde la perspectiva de la licitud jurídica, la resiliencia digital, la dependencia de la cadena, la solidez probatoria y el control directivo. Una organización que externaliza el tratamiento de datos sigue siendo responsable de la idoneidad del encargado, de la suficiente concreción de los acuerdos y de la posibilidad de supervisar el cumplimiento durante toda la relación. El encargado del tratamiento es, por tanto, al mismo tiempo un sujeto ejecutor y un punto de riesgo: limitado en la determinación jurídica de las finalidades, pero altamente influyente en la protección, la continuidad y la integridad efectivas de los datos personales.
Tratamiento por cuenta del responsable del tratamiento
El encargado del tratamiento no trata datos personales para finalidades propias, sino exclusivamente por cuenta y bajo el encargo del responsable del tratamiento. Este principio constituye el anclaje jurídico del papel del encargado del tratamiento en el marco del Reglamento General de Protección de Datos. El responsable del tratamiento determina por qué se tratan los datos personales, con qué finalidad se realiza dicho tratamiento y dentro de qué marco esencial se desarrolla. El encargado del tratamiento de datos, por el contrario, lleva a cabo las operaciones materiales necesarias para ejecutar ese tratamiento, tales como el alojamiento, el almacenamiento, el mantenimiento, el soporte técnico, el tratamiento administrativo, la supervisión de seguridad, la gestión de copias de seguridad o la prestación de servicios de plataforma. Esta distribución de funciones no es una formalidad, sino que determina toda la asignación de responsabilidades dentro de la cadena de tratamiento de datos. Cuando el encargado utiliza datos personales para una finalidad comercial propia, para sus propios análisis, para el desarrollo de productos fuera del servicio acordado o para su reutilización en beneficio de otros clientes, surge de inmediato una tensión con la calificación como encargado del tratamiento. La esencia del tratamiento por cuenta ajena reside, por tanto, en la subordinación funcional: el encargado del tratamiento puede actuar dentro de los límites del encargo, pero no más allá de la finalidad para la que los datos fueron proporcionados.
En el ámbito de servicios digitales complejos, esta delimitación se vuelve cada vez más vulnerable. Muchos encargados del tratamiento ofrecen plataformas estandarizadas en las que la configuración técnica, los ajustes de seguridad, los lugares de almacenamiento y los procesos operativos son determinados en gran medida por el proveedor del servicio. El responsable del tratamiento puede, por tanto, impartir formalmente instrucciones, mientras que el margen operativo efectivo se encuentra ampliamente configurado por las condiciones estándar del proveedor, las limitaciones técnicas y los módulos contractuales. Esta realidad no reduce la importancia de la calificación como encargado del tratamiento, pero exige una revisión más rigurosa. El tratamiento por cuenta del responsable presupone que se establezca previamente qué operaciones de tratamiento tendrán lugar, qué categorías de datos se verán afectadas, qué interesados estarán implicados, qué sistemas se utilizarán, qué posibilidades de acceso existirán y qué límites se aplicarán al uso, almacenamiento, transferencia y supresión. Sin este nivel de especificidad, la relación de encargo puede transformarse fácilmente en una relación de dependencia difusa, en la que el responsable del tratamiento dispone de una visibilidad insuficiente sobre el tratamiento efectivo de los datos personales. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, ello resulta problemático, porque la incertidumbre relativa al encargo, al acceso y a la limitación de la finalidad aumenta el riesgo de flujos de datos no controlados, decisiones de seguridad débiles y una detección insuficiente de los riesgos de criminalidad digital.
Una relación cuidadosamente estructurada con un encargado del tratamiento comienza, por tanto, con una evaluación sustantiva del servicio antes de que se trate cualquier dato personal. El responsable del tratamiento debe poder determinar si el tratamiento es realmente necesario para la finalidad prevista, si el encargado actuará exclusivamente dentro de esa finalidad y si el servicio es suficientemente transparente para permitir un control efectivo. Esto incluye una descripción clara de la naturaleza y finalidad del tratamiento, la duración del tratamiento, los tipos de datos personales, las categorías de interesados y las obligaciones del encargado del tratamiento. Estos elementos no deben permanecer en un nivel de formulación general, porque las expresiones genéricas ofrecen poco apoyo en caso de controversias, incidentes o preguntas de una autoridad de control. La relación de encargo debe ser suficientemente concreta para permitir establecer, tanto jurídica como operativamente, qué actos están permitidos y qué actos exceden el encargo. De este modo, el encargado del tratamiento de datos queda integrado en una estructura más amplia de gestión de la criminalidad digital, en la que la externalización no conduce a una pérdida de control, sino a una ejecución controlada dentro de límites claros. El encargado del tratamiento puede ocupar una posición técnicamente poderosa, pero esa posición debe permanecer siempre subordinada al encargo conferido por el responsable del tratamiento.
Sujeción a instrucciones documentadas
La obligación de actuar exclusivamente sobre la base de instrucciones documentadas constituye una de las garantías más esenciales dentro de la relación entre el responsable del tratamiento y el encargado del tratamiento de datos. Las instrucciones forman el marco jurídico y operativo dentro del cual el encargado puede recoger, consultar, conservar, modificar, proteger, transferir, suprimir o tratar de otro modo datos personales. Sin tales instrucciones, falta la delimitación normativa del tratamiento y surge el riesgo de que el encargado atribuya una interpretación propia a las actuaciones permitidas. El Reglamento General de Protección de Datos exige, por tanto, algo más que acuerdos verbales o referencias generales al servicio. Las instrucciones deben estar registradas, ser verificables y suficientemente específicas en relación con la naturaleza del tratamiento. Esto no se refiere únicamente a las tareas desempeñadas por el encargado, sino también a las limitaciones: qué datos no pueden utilizarse, qué tratamientos quedan excluidos, qué ubicaciones están prohibidas, qué niveles de acceso se aplican y qué condiciones rigen las modificaciones. Las instrucciones documentadas hacen que la relación con el encargado sea controlable y constituyen una prueba esencial cuando una autoridad de control, un tribunal, un interesado o una auditoría interna pregunta por qué tuvo lugar un determinado tratamiento de datos.
En las cadenas digitales, la importancia de las instrucciones documentadas aumenta porque el tratamiento de datos se realiza a menudo mediante procesos automatizados que no se evalúan por separado en cada ocasión. Una plataforma de software puede generar automáticamente logs, conservar metadatos, crear copias de seguridad, analizar el comportamiento de los usuarios, procesar alertas de seguridad o replicar datos en distintos entornos. Estos procesos pueden ser funcionalmente necesarios, pero deben quedar dentro del alcance del encargo. Las instrucciones deben, por tanto, contener no solo lenguaje jurídico, sino también reflejar la realidad técnica. Debe quedar claro cómo circulan los flujos de datos, qué acciones del sistema se producen por defecto, qué opciones son configurables y qué tratamientos derivan de la seguridad, el mantenimiento, la resolución de incidencias o la gestión del rendimiento. Cuando estas capas técnicas permanecen fuera de la vista, un responsable del tratamiento puede haber impartido formalmente instrucciones, mientras que partes esenciales del tratamiento efectivo no han quedado realmente delimitadas. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, este aspecto merece especial atención, porque los atacantes explotan con frecuencia debilidades técnicas, vías de acceso no controladas y derechos de sistema poco claros. Las instrucciones documentadas no son, por tanto, relevantes únicamente desde la perspectiva del derecho de protección de datos, sino que también constituyen un instrumento de gestión de la criminalidad digital.
Un encargado del tratamiento de datos debe, además, ser capaz de identificar situaciones en las que una instrucción sea poco clara, contradictoria o potencialmente ilícita. El encargado no es un supervisor independiente del responsable del tratamiento, pero tampoco puede ejecutar ciegamente instrucciones manifiestamente contrarias a las obligaciones en materia de protección de datos. En una relación sólida con el encargado del tratamiento se establece, por tanto, cómo se imparten, modifican, confirman y documentan las instrucciones, quién está autorizado para impartirlas y cómo se produce la escalada cuando una instrucción resulta problemática desde el punto de vista jurídico o técnico. Esta capa procedimental impide que decisiones cruciales desaparezcan en correos electrónicos aislados, tickets informales de soporte o acuerdos operativos carentes de garantía directiva. En particular en casos de respuesta a incidentes, migraciones, modificaciones de sistemas, exportación de datos, solicitudes de supresión y medidas urgentes, es esencial que las instrucciones sean rápidas, claras y fiables desde el punto de vista probatorio. El valor de las instrucciones no reside únicamente en la delimitación previa, sino también en la rendición de cuentas demostrable a posteriori. Un encargado que puede demostrar que el tratamiento se ha llevado a cabo exclusivamente dentro de parámetros escritos y establecidos refuerza la posición del responsable del tratamiento y reduce el riesgo de que la externalización sea considerada una transferencia no controlada de poder fáctico sobre los datos personales.
Ausencia de determinación autónoma de las finalidades
El encargado del tratamiento de datos, en principio, no determina de forma autónoma las finalidades ni los medios esenciales del tratamiento. Esto lo distingue del responsable del tratamiento y constituye un elemento central de la calificación conforme al Reglamento General de Protección de Datos. La determinación de las finalidades se refiere a la pregunta de por qué se tratan los datos personales y qué resultado pretende alcanzar el tratamiento. Los medios esenciales se refieren a decisiones fundamentales, como qué datos personales son necesarios, qué interesados se ven afectados, durante cuánto tiempo se conservan los datos, a quién se comunican y sobre qué base jurídica se realiza el tratamiento. El encargado del tratamiento puede adoptar decisiones prácticas o técnicas cuando estas encajan dentro del encargo, pero no puede determinar autónomamente la orientación normativa del tratamiento. Cuando, por ejemplo, un proveedor utiliza datos de clientes para construir sus propios perfiles, combina conjuntos de datos para mejorar sus propios productos, emplea datos con fines de marketing independientes o decide autónomamente que los datos se conservarán durante más tiempo del requerido por el encargo, su papel puede desplazarse hacia el de responsable del tratamiento. Ese desplazamiento puede tener consecuencias relevantes en materia de responsabilidad, transparencia, contratación, supervisión y derechos de los interesados.
En la práctica, la distinción entre margen de decisión técnica y determinación autónoma de las finalidades suele ser delicada. Los encargados del tratamiento disponen con frecuencia de conocimientos especializados que el responsable del tratamiento no posee internamente. Determinan qué técnicas de seguridad se utilizan, cómo se configura la infraestructura, cómo se realiza la supervisión, qué estrategia de copias de seguridad se aplica y cómo se desarrollan las funcionalidades de la plataforma. Esto no los convierte automáticamente en responsables del tratamiento. La competencia técnica ejercida en el marco de un encargo sigue siendo compatible con el papel de encargado del tratamiento, siempre que el tratamiento permanezca funcionalmente al servicio de la finalidad determinada por el responsable del tratamiento. El límite se supera cuando el encargado empieza a utilizar datos personales para un interés propio que no es necesario para el servicio acordado, o cuando decide de hecho sobre el núcleo del tratamiento. En el ámbito de la Gestión Integrada de Riesgos de Criminalidad Digital, este límite debe vigilarse cuidadosamente, porque la ambigüedad de funciones conduce a responsabilidades inciertas en caso de incidentes, violaciones de datos personales, accesos no autorizados, transferencias y abuso de datos. La ambigüedad de roles constituye un punto de riesgo autónomo dentro de las cadenas digitales.
Los contratos, la due diligence y la gobernanza operativa deben, por tanto, examinar expresamente qué decisiones adopta autónomamente el encargado del tratamiento de datos y qué decisiones quedan comprendidas en las instrucciones del responsable del tratamiento. Expresiones generales como “mejora del servicio”, “análisis de seguridad”, “optimización de la plataforma” o “conocimientos sobre usuarios” pueden resultar jurídicamente problemáticas cuando no está claro si se utilizan datos personales para esas finalidades y por qué razón. Tampoco la seudonimización o la agregación eliminan automáticamente todo riesgo, especialmente cuando sigue siendo posible la reidentificación o la combinación con otros conjuntos de datos. El responsable del tratamiento debe poder valorar si esas formas de tratamiento encajan dentro del encargo o requieren bases jurídicas separadas, obligaciones de transparencia distintas y una distribución diferente de funciones. Un encargado del tratamiento que preserva la pureza de su función limita el uso de los datos personales a lo necesario para el servicio, somete los tratamientos adicionales a una evaluación separada y se abstiene de cualquier explotación autónoma sin una base jurídica clara. Así se evita que la externalización se transforme gradualmente en un poder compartido o autónomo sobre los datos. Para la gestión de la criminalidad digital, esta claridad es de gran importancia, porque los roles definidos determinan quién debe actuar, notificar, investigar, remediar y rendir cuentas cuando los datos personales se ven afectados por amenazas digitales o fallos operativos.
Obligación de garantizar una seguridad adecuada
La obligación de adoptar medidas técnicas y organizativas adecuadas se encuentra entre las responsabilidades más relevantes del encargado del tratamiento de datos. El encargado suele estar más cerca que el responsable de los sistemas efectivos, los derechos de acceso, las bases de datos, las interfaces, los logs, las configuraciones en la nube y las medidas de seguridad. En consecuencia, ejerce una influencia directa sobre la protección de los datos personales frente a la pérdida, el acceso no autorizado, la destrucción, la alteración, la exfiltración o el tratamiento ilícito. La seguridad adecuada debe evaluarse en relación con el riesgo, el contexto, el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales, la extensión del tratamiento y las posibles consecuencias para los interesados. Una promesa genérica de que la seguridad es “adecuada” no resulta suficiente. El encargado del tratamiento debe poder demostrar concretamente qué medidas se han adoptado, cómo se mantienen esas medidas, cómo se gestionan las vulnerabilidades, cómo se limita el acceso, cómo se organiza el registro de logs y cómo se estructura la recuperación tras un incidente. La seguridad no es, por tanto, un anexo del servicio, sino una condición esencial para la licitud del tratamiento.
En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, esta obligación de seguridad adquiere una dimensión adicional. Los datos personales son con frecuencia el combustible de la criminalidad digital. Credenciales de acceso, copias de documentos de identidad, datos financieros, datos de contacto, información médica, expedientes de recursos humanos, perfiles de clientes y datos de comunicación pueden utilizarse para phishing, fraude de identidad, extorsión, ransomware, ingeniería social, toma de control de cuentas y ataques dirigidos contra organizaciones o individuos. Un encargado del tratamiento que permite una autenticación débil, aplica una segmentación insuficiente, no supervisa los logs, descuida la gestión de parches o controla insuficientemente a los subencargados incrementa no solo los riesgos para la protección de datos, sino también riesgos más amplios de criminalidad digital. La seguridad adecuada debe abordarse, por tanto, como una combinación de prevención, detección, respuesta y recuperación. La prevención incluye medidas como el cifrado, la limitación de accesos, la autenticación multifactor, la minimización de datos, el hardening y la configuración segura. La detección comprende la supervisión, el logging, la identificación de anomalías y las alertas. La respuesta abarca procedimientos de incidente, escalada, contención y preservación forense. La recuperación comprende copias de seguridad, medidas de continuidad, pruebas de restauración y evaluación.
En la selección y supervisión de un encargado del tratamiento de datos, el responsable del tratamiento debe, por tanto, evaluar sustantivamente si el nivel de seguridad es adecuado a la naturaleza del tratamiento. Certificaciones, informes de assurance, pruebas de penetración, documentos de políticas y declaraciones de seguridad pueden ser relevantes, pero no deben aceptarse acríticamente como prueba suficiente. La cuestión central sigue siendo si las medidas corresponden al tratamiento concreto y si el encargado está en condiciones de mantener la seguridad durante toda la duración del servicio. La gestión de cambios también es relevante. Nuevas funcionalidades, migraciones, cambios en los subencargados, ubicaciones de almacenamiento diferentes o modelos de acceso alterados pueden modificar sustancialmente el perfil de riesgo. La obligación de seguridad adecuada es, por tanto, dinámica: lo que hoy puede ser defendible puede resultar insuficiente mañana debido a nuevas amenazas, vulnerabilidades técnicas o flujos de datos modificados. En el marco de la gestión de la criminalidad digital, esto significa que la seguridad no puede limitarse a garantías contractuales en el momento de la firma. La evaluación continua, los informes, el análisis de incidentes y el seguimiento directivo son necesarios para evitar que el encargado del tratamiento de datos se convierta en el punto débil de la protección de los datos personales.
Secreto y confidencialidad
El secreto y la confidencialidad constituyen una capa fundamental de protección en toda relación con un encargado del tratamiento. El encargado del tratamiento de datos debe garantizar que las personas autorizadas para acceder a los datos personales estén sujetas a una obligación adecuada de confidencialidad. Esta obligación no se refiere únicamente a empleados permanentes, sino también a personal temporal, especialistas externos, personal de soporte, administradores, desarrolladores, consultores y otras personas que puedan obtener acceso a datos personales a través del encargado. La confidencialidad es más que una cláusula en un contrato laboral o en un código general de conducta. Se refiere a una limitación real del acceso, del conocimiento y del uso. Solo las personas que necesiten los datos personales para la ejecución del encargo pueden obtener acceso, y dicho acceso debe estar limitado, registrado y controlado. Sin esas medidas, la confidencialidad sigue siendo una garantía meramente documental. El Reglamento General de Protección de Datos exige que la confidencialidad se integre de forma concreta mediante gestión de autorizaciones, accesos basados en roles, formación, logging, revisiones de acceso y consecuencias disciplinarias o contractuales en caso de incumplimiento.
La importancia de la confidencialidad es especialmente elevada en entornos digitales en los que el acceso a datos personales puede producirse de forma remota, a través de portales de soporte, herramientas de gestión, API o cuentas administrativas. Un empleado de un encargado del tratamiento puede, en ocasiones, obtener en poco tiempo acceso a grandes volúmenes de datos sensibles. Una sola debilidad en la autorización, en la verificación de personas o en la supervisión puede, por tanto, causar un daño significativo. La confidencialidad está directamente vinculada a riesgos internos, violaciones de datos personales, ingeniería social y abuso de derechos administrativos. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, el secreto debe conectarse con una gestión más amplia de la criminalidad digital. El riesgo no se limita a atacantes externos que penetran en los sistemas; también el acceso interno o semiinterno puede ser objeto de abuso, coacción o supervisión insuficiente. Esto incluye consultas no autorizadas, exportaciones ilícitas, manipulación de datos, venta de información, tratamiento negligente de datos de clientes o abuso de derechos de soporte. Una obligación seria de confidencialidad exige, por tanto, una combinación de vinculación jurídica, disciplina organizativa y restricción técnica.
El encargado del tratamiento debe poder demostrar que la confidencialidad está garantizada dentro de su propia organización y en la cadena de subencargados. Esto significa que las obligaciones de confidencialidad deben estar documentadas contractualmente, pero también que el acceso a datos personales debe revisarse periódicamente, que la finalización de una relación laboral debe dar lugar a una rápida revocación de derechos, que el acceso privilegiado debe gestionarse rigurosamente y que los accesos excepcionales deben registrarse y evaluarse. La formación también desempeña un papel importante. Las personas con acceso a datos personales deben comprender qué datos se tratan, qué limitaciones se aplican, cómo reconocer el phishing y la ingeniería social, cómo notificar incidentes y qué consecuencias puede tener un tratamiento no autorizado. La confidencialidad no es, por tanto, una obligación estática, sino un proceso activo de control. Un encargado del tratamiento de datos que toma en serio la confidencialidad limita el acceso a lo estrictamente necesario, supervisa constantemente dicho acceso y crea una cultura demostrable de cuidado en torno a los datos personales. Esto no solo refuerza jurídicamente la relación con el encargado del tratamiento, sino que también la hace más resiliente frente a los riesgos de criminalidad digital derivados del error humano, las vulnerabilidades internas y el abuso de autoridad operativa.
Recurso a subencargados del tratamiento sujeto a condiciones
El recurso a subencargados del tratamiento constituye uno de los aspectos más sensibles de la relación con el encargado del tratamiento, porque los datos personales dejan de permanecer exclusivamente dentro de la esfera operativa directa del encargado principal. Cada subencargado añade un nuevo eslabón a la cadena de tratamiento de datos y, con ello, un nuevo punto en el que la confidencialidad, la disponibilidad, la integridad, la transferencia, la seguridad y el control pueden verse afectados. El Reglamento General de Protección de Datos exige, por tanto, que un encargado del tratamiento no pueda recurrir libremente a otros encargados sin autorización previa o sin un marco contractual que garantice el mismo nivel de protección previsto en la relación inicial de tratamiento. Esta exigencia reviste una importancia fundamental, porque el responsable del tratamiento no debe verse confrontado, a posteriori, con una cadena efectiva de proveedores, entidades de alojamiento, prestadores de soporte, socios de infraestructura o sociedades extranjeras del grupo de la que no tenía conocimiento previo. El recurso a subencargados modifica la naturaleza del riesgo: allí donde inicialmente existía una sola relación contractual, surge una cadena en la que cada eslabón puede reforzar o debilitar la protección de los datos personales.
En la práctica, el subtratamiento suele estar integrado en los servicios digitales modernos. Los proveedores de nube trabajan con centros de datos, redes de distribución de contenidos, ubicaciones de soporte, proveedores de seguridad, componentes de analítica y módulos de software de terceros. Las plataformas SaaS pueden apoyarse en alojamiento externo, proveedores de correo electrónico, servicios de logging, herramientas de monitorización, soluciones de autenticación y prestadores de soporte al cliente. Como consecuencia, una relación con un encargado del tratamiento aparentemente sencilla puede descansar, en realidad, sobre una cadena internacional y técnicamente estratificada. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, dicha cadena debe ser visible, evaluable y contractualmente controlable. No solo resulta relevante la identidad del subencargado, sino también la función que desempeña, las categorías de datos personales afectadas, el lugar del tratamiento, las medidas de seguridad aplicadas, cualquier posible transferencia fuera del Espacio Económico Europeo, los procedimientos de notificación de incidentes y las posibilidades de auditoría o verificación. Sin esta información, el responsable del tratamiento no puede valorar si el recurso al subencargado es compatible con sus propias obligaciones en materia de protección de datos y con el marco más amplio de gestión de la criminalidad digital.
Una cláusula cuidadosamente redactada sobre subencargados exige, por tanto, algo más que una autorización genérica incluida en un contrato estándar. Resulta importante que el responsable del tratamiento reciba, de forma previa o periódica, una lista actualizada de los subencargados, que las modificaciones sustanciales se comuniquen con suficiente antelación y que el responsable pueda oponerse cuando un nuevo subencargado genere un riesgo inaceptable. El encargado principal del tratamiento debe, además, garantizar contractualmente que cada subencargado quede vinculado por obligaciones equivalentes en materia de seguridad, confidencialidad, instrucciones, respuesta a incidentes, supresión, transferencias y cooperación. La responsabilidad por una cadena adecuadamente controlada no termina con la mera transmisión de cláusulas contractuales. Un encargado del tratamiento que recurre a subencargados debe poder demostrar que la selección se ha realizado con diligencia, que los riesgos han sido evaluados, que las garantías se supervisan y que las deficiencias pueden ser objeto de seguimiento efectivo. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, esto resulta esencial, porque los riesgos de criminalidad digital suelen materializarse a través del eslabón más débil de la cadena. Un encargado principal sólido pierde gran parte de su valor si un subencargado insuficientemente controlado tiene acceso a datos personales, datos de logging, copias de seguridad o sistemas de administración sin garantías equivalentes.
Asistencia en el ejercicio de los derechos de los interesados
El encargado del tratamiento desempeña un papel importante de apoyo en el ejercicio de los derechos de los interesados. Los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición pueden, en el plano formal, dirigirse al responsable del tratamiento, pero su ejecución práctica depende con frecuencia de sistemas y entornos de datos gestionados por el encargado. Cuando los datos personales se encuentran almacenados en sistemas cloud, bases de datos de aplicaciones, entornos de copia de seguridad, portales de clientes, archivos de log o sistemas de soporte técnico, el responsable del tratamiento no puede tramitar de forma completa o dentro de los plazos exigidos una solicitud de un interesado sin la cooperación del encargado del tratamiento. El deber de asistencia del encargado no es, por tanto, meramente accesorio, sino que incide directamente en la efectividad práctica de los derechos en materia de protección de datos. Un derecho que existe en el plano jurídico, pero que no puede ejecutarse técnicamente dentro de un plazo razonable, pierde gran parte de su significado y puede dar lugar a reclamaciones, riesgos de actuación por parte de la autoridad de control y pérdida de confianza.
Esta obligación exige procesos establecidos con antelación. No basta con que un encargado del tratamiento examine únicamente después de recibir una solicitud concreta si los datos pueden localizarse, exportarse, corregirse o suprimirse. Los sistemas, procesos y acuerdos contractuales deben tener en cuenta los derechos de los interesados desde el inicio. Esto significa que los datos personales deben ser localizables, las categorías de datos deben estar suficientemente clasificadas, deben existir funcionalidades de exportación, la supresión debe ser técnicamente realizable, las limitaciones deben poder aplicarse y debe quedar claro qué datos se encuentran en sistemas activos, archivos, copias de seguridad, entornos de logging y cadenas de subencargados. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, esta operacionalización reviste especial importancia. La incapacidad de localizar o corregir los datos a tiempo puede no solo implicar una vulneración de los derechos de protección de datos, sino también provocar decisiones erróneas, identificaciones incorrectas, procesos de cliente sensibles al fraude, alertas injustificadas o un aumento de los riesgos de criminalidad digital. La calidad de los datos, la trazabilidad y el ejercicio efectivo de los derechos están, por tanto, estrechamente vinculados a la integridad digital.
El acuerdo de tratamiento de datos debe regular de forma concreta cómo se prestará la asistencia relativa a los derechos de los interesados, dentro de qué plazos deberá responder el encargado del tratamiento, qué canales de comunicación se utilizarán, qué costes podrán eventualmente cargarse, cómo se gestionará la verificación de identidad y cómo se garantizará que el encargado no adopte decisiones sustantivas reservadas al responsable del tratamiento. El encargado del tratamiento debe prestar asistencia, pero no debe determinar sin instrucciones si una solicitud debe estimarse o rechazarse, salvo que acuerdos contractuales específicos y parámetros jurídicos lo permitan. Debe garantizarse, además, que las solicitudes recibidas directamente por el encargado sean remitidas inmediatamente o tratadas conforme a instrucciones previamente establecidas. En un marco correctamente controlado, cada solicitud se considera una prueba de la calidad de los datos, del diseño de los sistemas y de la accountability. Cuando una organización depende de un encargado que no puede proporcionar una exportación fiable, capacidades de búsqueda dirigida o supresión verificable, surge una vulnerabilidad estructural. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, el encargado del tratamiento debe evaluarse, por tanto, en función de la medida en que su servicio técnico contribuye realmente a la transparencia, la controlabilidad y la protección jurídica.
Cooperación en materia de seguridad, incidentes y evaluaciones de impacto relativas a la protección de datos
El encargado del tratamiento debe apoyar al responsable del tratamiento en el cumplimiento de las obligaciones relativas a la seguridad, las violaciones de datos personales, los análisis de riesgos y las evaluaciones de impacto relativas a la protección de datos. Este deber de cooperación deriva de la posición del encargado como sujeto que, con frecuencia, dispone de la visibilidad más directa sobre los entornos técnicos, los registros de acceso, las configuraciones, las vulnerabilidades, las alertas del sistema, las actividades de soporte y los incidentes operativos. El responsable del tratamiento puede estar jurídicamente obligado a evaluar las medidas de seguridad, notificar a tiempo las violaciones de datos personales o realizar una evaluación de impacto relativa a la protección de datos, pero para ello necesita información que a menudo se encuentra en poder del encargado del tratamiento. Un encargado que proporciona información insuficiente o tardía puede colocar al responsable del tratamiento en una situación en la que no se cumplen los plazos legales, los riesgos no se comprenden plenamente y las medidas correctivas no quedan suficientemente fundamentadas. La cooperación no es, por tanto, una cuestión de cortesía, sino una condición necesaria para una gestión de riesgos lícita, verificable y eficaz.
La rapidez resulta especialmente importante en caso de incidentes de seguridad. Una violación de datos personales o un incidente cibernético puede evolucionar con mayor rapidez que la capacidad de respuesta de la toma de decisiones jurídica. El ransomware, el robo de credenciales, el acceso no autorizado, el malware, las configuraciones erróneas, el abuso de API o la exfiltración pueden producir en poco tiempo consecuencias significativas para los interesados y para las organizaciones. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, debe quedar claro de antemano qué eventos se califican como incidentes, cuándo resulta obligatoria la escalada, qué información debe proporcionar el encargado del tratamiento, qué datos forenses deben preservarse, quién está autorizado para comunicar, qué medidas de contención se aplican y cómo deben asegurarse las pruebas. No se trata únicamente de la notificación formal de una violación de datos personales, sino también de la calidad de la reconstrucción fáctica. Sin logging, cronologías, análisis técnico, evaluación de impacto y visibilidad sobre los conjuntos de datos afectados, el responsable del tratamiento no puede valorar si resulta necesaria una notificación a la autoridad de control o a los interesados. El encargado desempeña, por tanto, un papel determinante en la transición de la perturbación técnica a la calificación jurídica.
El encargado del tratamiento debe, además, estar en condiciones de proporcionar información sustantiva para las evaluaciones de impacto relativas a la protección de datos y para análisis de riesgos más amplios. Cuando un tratamiento puede entrañar un alto riesgo para los derechos y libertades de los interesados, puede ser necesaria una evaluación de impacto relativa a la protección de datos. El responsable del tratamiento sigue siendo el principal responsable de dicha evaluación, pero el encargado debe poder proporcionar información sobre las funcionalidades de los sistemas, las medidas de seguridad, los flujos de datos, la gestión de accesos, los períodos de conservación, los subencargados, las transferencias y las limitaciones técnicas. Esta información debe ser suficientemente concreta para permitir una verdadera valoración de los riesgos. Las declaraciones genéricas de conformidad o la documentación comercial no son suficientes para tal fin. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, la evaluación de impacto relativa a la protección de datos debe entenderse, además, como algo más que una formalidad del derecho de protección de datos. Constituye un instrumento para examinar de forma sistemática los riesgos de criminalidad digital, los escenarios de abuso, las dependencias, las vulnerabilidades y las capacidades de respuesta. El encargado del tratamiento no debe limitarse a responder preguntas, sino contribuir activamente a la comprensión del funcionamiento real de la tecnología. Un encargado que no ofrece transparencia sobre procesos críticos o que no puede proporcionar información adecuada sobre incidentes constituye un riesgo de gobernanza que debe evaluarse antes de la conclusión del contrato.
Supresión o devolución de los datos al término del servicio
Tras la finalización de los servicios, el encargado del tratamiento debe suprimir o devolver los datos personales al responsable del tratamiento, en función de las instrucciones, los acuerdos contractuales y las eventuales obligaciones legales de conservación. Esta obligación reviste gran importancia, porque el final de una relación de servicio no significa automáticamente que los datos personales desaparezcan efectivamente de los sistemas. Los datos pueden permanecer en entornos de producción, copias de seguridad, archivos, entornos de prueba, archivos de log, tickets de soporte, réplicas, exportaciones, almacenamientos temporales, entornos de recuperación ante desastres o sistemas de subencargados. En ausencia de acuerdos claros de salida, persiste el riesgo de que los datos personales sigan siendo accesibles, vulnerables o conservados ilícitamente tras la finalización de la relación. La fase de cierre constituye, por tanto, un momento crítico en el ciclo de vida del tratamiento de datos. Mientras que los contratos suelen dedicar considerable atención al inicio de los servicios, la Gestión Integrada de Riesgos de Criminalidad Digital exige también una regulación precisa de su conclusión.
Un proceso de salida cuidadoso debe diseñarse con antelación y no debe improvisarse cuando la relación ya se encuentra bajo presión o cuando la terminación ya ha sido notificada. El responsable del tratamiento debe poder determinar si los datos personales serán devueltos, en qué formato, dentro de qué plazo, a través de qué canal seguro, con qué verificación y con qué garantías de integridad. Cuando se exige la supresión, debe quedar claro qué sistemas se ven afectados, cómo se ejecutará la supresión, cómo intervendrán los subencargados, cómo se tratarán las copias de seguridad y cómo se demostrará que los datos ya no están disponibles para el tratamiento ordinario. Las copias de seguridad requieren especial atención, porque la supresión física inmediata puede resultar técnicamente compleja en algunos casos. En tal supuesto, deben existir acuerdos relativos al aislamiento, la exclusión del uso activo, la sobrescritura automática, los períodos de conservación y las restricciones de restauración. Sin tal precisión, un encargado puede invocar limitaciones técnicas mientras los datos personales continúan existiendo, en realidad, durante más tiempo del necesario o permitido.
La obligación de suprimir o devolver los datos también tiene relevancia para la gestión de la criminalidad digital. Los conjuntos de datos residuales constituyen objetivos atractivos para los atacantes, sobre todo cuando quedan fuera de la monitorización activa o de los procesos ordinarios de seguridad. Antiguas exportaciones, archivos de migración, copias de seguridad o copias de prueba pueden contener datos personales sensibles sin que la organización sea todavía consciente de su existencia. Esto incrementa el riesgo de violaciones de datos personales, fraude de identidad, acceso no autorizado y abuso. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, la conservación de datos debe considerarse, por tanto, no solo como una cuestión de plazos de conservación, sino también como una cuestión de riesgo. Cuanto más tiempo permanecen innecesariamente existentes los datos personales, mayor se vuelve la superficie de ataque y más difícil resulta mantener el control. Un encargado del tratamiento debe poder demostrar que la finalización conduce a un cierre controlado, a una transferencia segura, a una supresión demostrable y a la revocación de accesos. Un acuerdo de salida claro no solo protege la posición jurídica del responsable del tratamiento, sino que también impide que el tratamiento externalizado de datos continúe tras la finalización de la relación en forma de vulnerabilidad oculta.
Demostrabilidad y disponibilidad para auditoría
La demostrabilidad constituye la garantía final de las obligaciones del encargado del tratamiento. Un encargado del tratamiento debe poner a disposición información suficiente para permitir la verificación del cumplimiento del Reglamento General de Protección de Datos y del acuerdo de tratamiento de datos. Esta obligación se conecta con el principio más amplio de accountability: no solo se exige el cumplimiento de las reglas, sino también la capacidad de demostrar dicho cumplimiento de forma convincente. Para el responsable del tratamiento, esto es esencial, porque la responsabilidad formal permanece incluso cuando el tratamiento ha sido externalizado. Sin acceso a información relevante, no puede establecerse si el encargado del tratamiento respeta las instrucciones, aplica una seguridad adecuada, gestiona cuidadosamente a los subencargados, notifica los incidentes a tiempo, asiste en el ejercicio de los derechos de los interesados y suprime correctamente los datos tras la finalización de la relación. La demostrabilidad no es, por tanto, una cuestión administrativa secundaria, sino un presupuesto del control directivo y de la defendibilidad jurídica.
La disponibilidad para auditoría debe estructurarse de forma práctica y proporcionada. Puede adoptar la forma de informes periódicos, certificaciones, declaraciones de assurance, informes de seguridad, resultados de pruebas de penetración, información relativa a evaluaciones de impacto sobre la protección de datos, listados de subencargados, informes de incidentes, documentos de políticas, declaraciones técnicas o auditorías específicas. La forma concreta depende de la naturaleza del tratamiento, del perfil de riesgo, de la sensibilidad de los datos y de la posición del encargado. Un tratamiento a gran escala o de alto riesgo puede exigir mayor profundidad que un apoyo administrativo limitado. Al mismo tiempo, la disponibilidad para auditoría no debe vaciarse de contenido mediante restricciones excesivamente amplias, discrecionalidad unilateral del encargado o documentación exclusivamente genérica. Un mecanismo de auditoría debe permitir realmente al responsable del tratamiento obtener una garantía razonable sobre el cumplimiento. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, la información de auditoría no debe limitarse, además, a declaraciones de privacidad, sino que debe ofrecer visibilidad sobre los riesgos de criminalidad digital, los incidentes de seguridad, la gestión de accesos, las vulnerabilidades, la capacidad de recuperación, las cadenas de subencargados y las dependencias operativas relevantes.
Una estructura sólida de auditoría y rendición de cuentas refuerza toda la cadena de tratamiento de datos. Hace visibles los puntos en los que surgen riesgos, las medidas de mejora necesarias y los acuerdos contractuales que deben reforzarse. Un encargado del tratamiento dispuesto a la transparencia, a la verificación y al seguimiento correctivo demuestra que la protección de datos no se trata como una mera obligación contractual, sino como parte integrante de la prestación profesional de servicios digitales. Para el responsable del tratamiento, esto crea una posición más defendible frente a las autoridades de control, los interesados, los órganos directivos, los clientes y otros stakeholders. Una disponibilidad insuficiente para auditoría constituye, por el contrario, una señal de alarma seria. Un encargado que se niega a proporcionar visibilidad sobre seguridad, subencargados, incidentes o cumplimiento está pidiendo, en realidad, confianza sin control. En un contexto caracterizado por riesgos crecientes de criminalidad digital, ello resulta insuficiente. En el marco de la Gestión Integrada de Riesgos de Criminalidad Digital, el encargado del tratamiento debe, por tanto, no solo tratar los datos conforme a las instrucciones, sino también poder demostrar que dicho tratamiento es lícito, seguro, controlable y resiliente a lo largo de toda la cadena.
