{"id":24468,"date":"2024-06-30T20:13:36","date_gmt":"2024-06-30T19:13:36","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/es\/?p=24468"},"modified":"2026-06-16T15:05:31","modified_gmt":"2026-06-16T14:05:31","slug":"funcion-del-encargado-del-tratamiento","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/es\/tech-y-digital\/privacidad-datos-y-ciberseguridad\/funcion-del-encargado-del-tratamiento\/","title":{"rendered":"Funci\u00f3n del encargado del tratamiento"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"24468\" class=\"elementor elementor-24468\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-efe9bdf elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"efe9bdf\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-4263bd18\" data-id=\"4263bd18\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5602332d elementor-widget elementor-widget-text-editor\" data-id=\"5602332d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-start=\"62\" data-end=\"2192\">El encargado del tratamiento ocupa, en el marco del Reglamento General de Protecci\u00f3n de Datos, una posici\u00f3n que va mucho m\u00e1s all\u00e1 de la imagen tradicional de un prestador externo que realiza meramente operaciones t\u00e9cnicas. En una econom\u00eda digital en la que las infraestructuras en la nube, las plataformas SaaS, los proveedores de servicios gestionados, los centros de datos, los proveedores de ciberseguridad, los sistemas de recursos humanos, los procesadores de pagos, las tecnolog\u00edas de marketing y los servicios especializados de anal\u00edtica soportan una parte sustancial del tratamiento operativo de datos, el encargado del tratamiento se sit\u00faa en el centro mismo de la cadena de riesgo digital. La calificaci\u00f3n jur\u00eddica como encargado del tratamiento sigue estando formalmente vinculada al tratamiento realizado por cuenta del responsable del tratamiento, pero su relevancia pr\u00e1ctica se ha vuelto considerablemente m\u00e1s intensa. Un encargado del tratamiento puede tener acceso a conjuntos de datos extensos, gestionar sistemas cr\u00edticos, determinar configuraciones de seguridad, facilitar el registro de logs, detectar violaciones de datos personales, ejecutar procesos de recuperaci\u00f3n y recurrir a subencargados dentro de cadenas internacionales. De este modo, su funci\u00f3n incide directamente en la fiabilidad, la continuidad, la confidencialidad, la disponibilidad y la controlabilidad. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, esta posici\u00f3n reviste una importancia particular, porque los datos personales no solo son sensibles desde la perspectiva de la protecci\u00f3n de la privacidad, sino que tambi\u00e9n constituyen un objetivo atractivo para el fraude, la suplantaci\u00f3n de identidad, la toma de control de cuentas, el phishing, el ransomware, la compromisi\u00f3n del correo electr\u00f3nico empresarial y otros riesgos de criminalidad digital. Por ello, el encargado del tratamiento no es una parte contractual perif\u00e9rica, sino un eslab\u00f3n cuya calidad contribuye a determinar si los datos personales permanecen efectivamente protegidos frente al abuso, la manipulaci\u00f3n, la p\u00e9rdida y el acceso no autorizado.<\/p><p data-start=\"2194\" data-end=\"4120\">La cuesti\u00f3n central al recurrir a un encargado del tratamiento no consiste \u00fanicamente en verificar si existe un acuerdo de tratamiento de datos, sino en determinar si la relaci\u00f3n real se ha estructurado de forma suficientemente gobernable, verificable y exigible. Un acuerdo meramente documental, sin control operativo, ofrece poca protecci\u00f3n cuando siguen siendo inciertos el lugar en que se almacenan los datos, los subencargados que intervienen, la forma en que se notifican los incidentes, las normas de seguridad aplicables, la manera en que se implementan los cambios en el servicio y el modo pr\u00e1ctico en que pueden ejercerse los derechos de los interesados. Por ello, el Reglamento General de Protecci\u00f3n de Datos atribuye gran importancia a las instrucciones, la seguridad, la confidencialidad, el control de la cadena, la asistencia, la terminaci\u00f3n de la relaci\u00f3n y la demostrabilidad. Estas obligaciones no deben entenderse como cl\u00e1usulas contractuales aisladas, sino como requisitos interdependientes de gobernanza que determinan si el tratamiento externalizado de datos puede llevarse a cabo de forma responsable. En el contexto de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, esto significa que las relaciones con encargados del tratamiento deben evaluarse desde la perspectiva de la licitud jur\u00eddica, la resiliencia digital, la dependencia de la cadena, la solidez probatoria y el control directivo. Una organizaci\u00f3n que externaliza el tratamiento de datos sigue siendo responsable de la idoneidad del encargado, de la suficiente concreci\u00f3n de los acuerdos y de la posibilidad de supervisar el cumplimiento durante toda la relaci\u00f3n. El encargado del tratamiento es, por tanto, al mismo tiempo un sujeto ejecutor y un punto de riesgo: limitado en la determinaci\u00f3n jur\u00eddica de las finalidades, pero altamente influyente en la protecci\u00f3n, la continuidad y la integridad efectivas de los datos personales.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-42c16d1 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"42c16d1\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-5beb3de\" data-id=\"5beb3de\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-a429777 elementor-widget elementor-widget-text-editor\" data-id=\"a429777\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4 data-start=\"4122\" data-end=\"4181\">Tratamiento por cuenta del responsable del tratamiento<\/h4><p data-start=\"4183\" data-end=\"5739\">El encargado del tratamiento no trata datos personales para finalidades propias, sino exclusivamente por cuenta y bajo el encargo del responsable del tratamiento. Este principio constituye el anclaje jur\u00eddico del papel del encargado del tratamiento en el marco del Reglamento General de Protecci\u00f3n de Datos. El responsable del tratamiento determina por qu\u00e9 se tratan los datos personales, con qu\u00e9 finalidad se realiza dicho tratamiento y dentro de qu\u00e9 marco esencial se desarrolla. El encargado del tratamiento de datos, por el contrario, lleva a cabo las operaciones materiales necesarias para ejecutar ese tratamiento, tales como el alojamiento, el almacenamiento, el mantenimiento, el soporte t\u00e9cnico, el tratamiento administrativo, la supervisi\u00f3n de seguridad, la gesti\u00f3n de copias de seguridad o la prestaci\u00f3n de servicios de plataforma. Esta distribuci\u00f3n de funciones no es una formalidad, sino que determina toda la asignaci\u00f3n de responsabilidades dentro de la cadena de tratamiento de datos. Cuando el encargado utiliza datos personales para una finalidad comercial propia, para sus propios an\u00e1lisis, para el desarrollo de productos fuera del servicio acordado o para su reutilizaci\u00f3n en beneficio de otros clientes, surge de inmediato una tensi\u00f3n con la calificaci\u00f3n como encargado del tratamiento. La esencia del tratamiento por cuenta ajena reside, por tanto, en la subordinaci\u00f3n funcional: el encargado del tratamiento puede actuar dentro de los l\u00edmites del encargo, pero no m\u00e1s all\u00e1 de la finalidad para la que los datos fueron proporcionados.<\/p><p data-start=\"5741\" data-end=\"7438\">En el \u00e1mbito de servicios digitales complejos, esta delimitaci\u00f3n se vuelve cada vez m\u00e1s vulnerable. Muchos encargados del tratamiento ofrecen plataformas estandarizadas en las que la configuraci\u00f3n t\u00e9cnica, los ajustes de seguridad, los lugares de almacenamiento y los procesos operativos son determinados en gran medida por el proveedor del servicio. El responsable del tratamiento puede, por tanto, impartir formalmente instrucciones, mientras que el margen operativo efectivo se encuentra ampliamente configurado por las condiciones est\u00e1ndar del proveedor, las limitaciones t\u00e9cnicas y los m\u00f3dulos contractuales. Esta realidad no reduce la importancia de la calificaci\u00f3n como encargado del tratamiento, pero exige una revisi\u00f3n m\u00e1s rigurosa. El tratamiento por cuenta del responsable presupone que se establezca previamente qu\u00e9 operaciones de tratamiento tendr\u00e1n lugar, qu\u00e9 categor\u00edas de datos se ver\u00e1n afectadas, qu\u00e9 interesados estar\u00e1n implicados, qu\u00e9 sistemas se utilizar\u00e1n, qu\u00e9 posibilidades de acceso existir\u00e1n y qu\u00e9 l\u00edmites se aplicar\u00e1n al uso, almacenamiento, transferencia y supresi\u00f3n. Sin este nivel de especificidad, la relaci\u00f3n de encargo puede transformarse f\u00e1cilmente en una relaci\u00f3n de dependencia difusa, en la que el responsable del tratamiento dispone de una visibilidad insuficiente sobre el tratamiento efectivo de los datos personales. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, ello resulta problem\u00e1tico, porque la incertidumbre relativa al encargo, al acceso y a la limitaci\u00f3n de la finalidad aumenta el riesgo de flujos de datos no controlados, decisiones de seguridad d\u00e9biles y una detecci\u00f3n insuficiente de los riesgos de criminalidad digital.<\/p><p data-start=\"7440\" data-end=\"8943\">Una relaci\u00f3n cuidadosamente estructurada con un encargado del tratamiento comienza, por tanto, con una evaluaci\u00f3n sustantiva del servicio antes de que se trate cualquier dato personal. El responsable del tratamiento debe poder determinar si el tratamiento es realmente necesario para la finalidad prevista, si el encargado actuar\u00e1 exclusivamente dentro de esa finalidad y si el servicio es suficientemente transparente para permitir un control efectivo. Esto incluye una descripci\u00f3n clara de la naturaleza y finalidad del tratamiento, la duraci\u00f3n del tratamiento, los tipos de datos personales, las categor\u00edas de interesados y las obligaciones del encargado del tratamiento. Estos elementos no deben permanecer en un nivel de formulaci\u00f3n general, porque las expresiones gen\u00e9ricas ofrecen poco apoyo en caso de controversias, incidentes o preguntas de una autoridad de control. La relaci\u00f3n de encargo debe ser suficientemente concreta para permitir establecer, tanto jur\u00eddica como operativamente, qu\u00e9 actos est\u00e1n permitidos y qu\u00e9 actos exceden el encargo. De este modo, el encargado del tratamiento de datos queda integrado en una estructura m\u00e1s amplia de gesti\u00f3n de la criminalidad digital, en la que la externalizaci\u00f3n no conduce a una p\u00e9rdida de control, sino a una ejecuci\u00f3n controlada dentro de l\u00edmites claros. El encargado del tratamiento puede ocupar una posici\u00f3n t\u00e9cnicamente poderosa, pero esa posici\u00f3n debe permanecer siempre subordinada al encargo conferido por el responsable del tratamiento.<\/p><h4 data-start=\"8945\" data-end=\"8987\">Sujeci\u00f3n a instrucciones documentadas<\/h4><p data-start=\"8989\" data-end=\"10419\">La obligaci\u00f3n de actuar exclusivamente sobre la base de instrucciones documentadas constituye una de las garant\u00edas m\u00e1s esenciales dentro de la relaci\u00f3n entre el responsable del tratamiento y el encargado del tratamiento de datos. Las instrucciones forman el marco jur\u00eddico y operativo dentro del cual el encargado puede recoger, consultar, conservar, modificar, proteger, transferir, suprimir o tratar de otro modo datos personales. Sin tales instrucciones, falta la delimitaci\u00f3n normativa del tratamiento y surge el riesgo de que el encargado atribuya una interpretaci\u00f3n propia a las actuaciones permitidas. El Reglamento General de Protecci\u00f3n de Datos exige, por tanto, algo m\u00e1s que acuerdos verbales o referencias generales al servicio. Las instrucciones deben estar registradas, ser verificables y suficientemente espec\u00edficas en relaci\u00f3n con la naturaleza del tratamiento. Esto no se refiere \u00fanicamente a las tareas desempe\u00f1adas por el encargado, sino tambi\u00e9n a las limitaciones: qu\u00e9 datos no pueden utilizarse, qu\u00e9 tratamientos quedan excluidos, qu\u00e9 ubicaciones est\u00e1n prohibidas, qu\u00e9 niveles de acceso se aplican y qu\u00e9 condiciones rigen las modificaciones. Las instrucciones documentadas hacen que la relaci\u00f3n con el encargado sea controlable y constituyen una prueba esencial cuando una autoridad de control, un tribunal, un interesado o una auditor\u00eda interna pregunta por qu\u00e9 tuvo lugar un determinado tratamiento de datos.<\/p><p data-start=\"10421\" data-end=\"12019\">En las cadenas digitales, la importancia de las instrucciones documentadas aumenta porque el tratamiento de datos se realiza a menudo mediante procesos automatizados que no se eval\u00faan por separado en cada ocasi\u00f3n. Una plataforma de software puede generar autom\u00e1ticamente logs, conservar metadatos, crear copias de seguridad, analizar el comportamiento de los usuarios, procesar alertas de seguridad o replicar datos en distintos entornos. Estos procesos pueden ser funcionalmente necesarios, pero deben quedar dentro del alcance del encargo. Las instrucciones deben, por tanto, contener no solo lenguaje jur\u00eddico, sino tambi\u00e9n reflejar la realidad t\u00e9cnica. Debe quedar claro c\u00f3mo circulan los flujos de datos, qu\u00e9 acciones del sistema se producen por defecto, qu\u00e9 opciones son configurables y qu\u00e9 tratamientos derivan de la seguridad, el mantenimiento, la resoluci\u00f3n de incidencias o la gesti\u00f3n del rendimiento. Cuando estas capas t\u00e9cnicas permanecen fuera de la vista, un responsable del tratamiento puede haber impartido formalmente instrucciones, mientras que partes esenciales del tratamiento efectivo no han quedado realmente delimitadas. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, este aspecto merece especial atenci\u00f3n, porque los atacantes explotan con frecuencia debilidades t\u00e9cnicas, v\u00edas de acceso no controladas y derechos de sistema poco claros. Las instrucciones documentadas no son, por tanto, relevantes \u00fanicamente desde la perspectiva del derecho de protecci\u00f3n de datos, sino que tambi\u00e9n constituyen un instrumento de gesti\u00f3n de la criminalidad digital.<\/p><p data-start=\"12021\" data-end=\"13630\">Un encargado del tratamiento de datos debe, adem\u00e1s, ser capaz de identificar situaciones en las que una instrucci\u00f3n sea poco clara, contradictoria o potencialmente il\u00edcita. El encargado no es un supervisor independiente del responsable del tratamiento, pero tampoco puede ejecutar ciegamente instrucciones manifiestamente contrarias a las obligaciones en materia de protecci\u00f3n de datos. En una relaci\u00f3n s\u00f3lida con el encargado del tratamiento se establece, por tanto, c\u00f3mo se imparten, modifican, confirman y documentan las instrucciones, qui\u00e9n est\u00e1 autorizado para impartirlas y c\u00f3mo se produce la escalada cuando una instrucci\u00f3n resulta problem\u00e1tica desde el punto de vista jur\u00eddico o t\u00e9cnico. Esta capa procedimental impide que decisiones cruciales desaparezcan en correos electr\u00f3nicos aislados, tickets informales de soporte o acuerdos operativos carentes de garant\u00eda directiva. En particular en casos de respuesta a incidentes, migraciones, modificaciones de sistemas, exportaci\u00f3n de datos, solicitudes de supresi\u00f3n y medidas urgentes, es esencial que las instrucciones sean r\u00e1pidas, claras y fiables desde el punto de vista probatorio. El valor de las instrucciones no reside \u00fanicamente en la delimitaci\u00f3n previa, sino tambi\u00e9n en la rendici\u00f3n de cuentas demostrable a posteriori. Un encargado que puede demostrar que el tratamiento se ha llevado a cabo exclusivamente dentro de par\u00e1metros escritos y establecidos refuerza la posici\u00f3n del responsable del tratamiento y reduce el riesgo de que la externalizaci\u00f3n sea considerada una transferencia no controlada de poder f\u00e1ctico sobre los datos personales.<\/p><h4 data-start=\"13632\" data-end=\"13690\">Ausencia de determinaci\u00f3n aut\u00f3noma de las finalidades<\/h4><p data-start=\"13692\" data-end=\"15137\">El encargado del tratamiento de datos, en principio, no determina de forma aut\u00f3noma las finalidades ni los medios esenciales del tratamiento. Esto lo distingue del responsable del tratamiento y constituye un elemento central de la calificaci\u00f3n conforme al Reglamento General de Protecci\u00f3n de Datos. La determinaci\u00f3n de las finalidades se refiere a la pregunta de por qu\u00e9 se tratan los datos personales y qu\u00e9 resultado pretende alcanzar el tratamiento. Los medios esenciales se refieren a decisiones fundamentales, como qu\u00e9 datos personales son necesarios, qu\u00e9 interesados se ven afectados, durante cu\u00e1nto tiempo se conservan los datos, a qui\u00e9n se comunican y sobre qu\u00e9 base jur\u00eddica se realiza el tratamiento. El encargado del tratamiento puede adoptar decisiones pr\u00e1cticas o t\u00e9cnicas cuando estas encajan dentro del encargo, pero no puede determinar aut\u00f3nomamente la orientaci\u00f3n normativa del tratamiento. Cuando, por ejemplo, un proveedor utiliza datos de clientes para construir sus propios perfiles, combina conjuntos de datos para mejorar sus propios productos, emplea datos con fines de marketing independientes o decide aut\u00f3nomamente que los datos se conservar\u00e1n durante m\u00e1s tiempo del requerido por el encargo, su papel puede desplazarse hacia el de responsable del tratamiento. Ese desplazamiento puede tener consecuencias relevantes en materia de responsabilidad, transparencia, contrataci\u00f3n, supervisi\u00f3n y derechos de los interesados.<\/p><p data-start=\"15139\" data-end=\"16563\">En la pr\u00e1ctica, la distinci\u00f3n entre margen de decisi\u00f3n t\u00e9cnica y determinaci\u00f3n aut\u00f3noma de las finalidades suele ser delicada. Los encargados del tratamiento disponen con frecuencia de conocimientos especializados que el responsable del tratamiento no posee internamente. Determinan qu\u00e9 t\u00e9cnicas de seguridad se utilizan, c\u00f3mo se configura la infraestructura, c\u00f3mo se realiza la supervisi\u00f3n, qu\u00e9 estrategia de copias de seguridad se aplica y c\u00f3mo se desarrollan las funcionalidades de la plataforma. Esto no los convierte autom\u00e1ticamente en responsables del tratamiento. La competencia t\u00e9cnica ejercida en el marco de un encargo sigue siendo compatible con el papel de encargado del tratamiento, siempre que el tratamiento permanezca funcionalmente al servicio de la finalidad determinada por el responsable del tratamiento. El l\u00edmite se supera cuando el encargado empieza a utilizar datos personales para un inter\u00e9s propio que no es necesario para el servicio acordado, o cuando decide de hecho sobre el n\u00facleo del tratamiento. En el \u00e1mbito de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, este l\u00edmite debe vigilarse cuidadosamente, porque la ambig\u00fcedad de funciones conduce a responsabilidades inciertas en caso de incidentes, violaciones de datos personales, accesos no autorizados, transferencias y abuso de datos. La ambig\u00fcedad de roles constituye un punto de riesgo aut\u00f3nomo dentro de las cadenas digitales.<\/p><p data-start=\"16565\" data-end=\"18189\">Los contratos, la due diligence y la gobernanza operativa deben, por tanto, examinar expresamente qu\u00e9 decisiones adopta aut\u00f3nomamente el encargado del tratamiento de datos y qu\u00e9 decisiones quedan comprendidas en las instrucciones del responsable del tratamiento. Expresiones generales como \u201cmejora del servicio\u201d, \u201can\u00e1lisis de seguridad\u201d, \u201coptimizaci\u00f3n de la plataforma\u201d o \u201cconocimientos sobre usuarios\u201d pueden resultar jur\u00eddicamente problem\u00e1ticas cuando no est\u00e1 claro si se utilizan datos personales para esas finalidades y por qu\u00e9 raz\u00f3n. Tampoco la seudonimizaci\u00f3n o la agregaci\u00f3n eliminan autom\u00e1ticamente todo riesgo, especialmente cuando sigue siendo posible la reidentificaci\u00f3n o la combinaci\u00f3n con otros conjuntos de datos. El responsable del tratamiento debe poder valorar si esas formas de tratamiento encajan dentro del encargo o requieren bases jur\u00eddicas separadas, obligaciones de transparencia distintas y una distribuci\u00f3n diferente de funciones. Un encargado del tratamiento que preserva la pureza de su funci\u00f3n limita el uso de los datos personales a lo necesario para el servicio, somete los tratamientos adicionales a una evaluaci\u00f3n separada y se abstiene de cualquier explotaci\u00f3n aut\u00f3noma sin una base jur\u00eddica clara. As\u00ed se evita que la externalizaci\u00f3n se transforme gradualmente en un poder compartido o aut\u00f3nomo sobre los datos. Para la gesti\u00f3n de la criminalidad digital, esta claridad es de gran importancia, porque los roles definidos determinan qui\u00e9n debe actuar, notificar, investigar, remediar y rendir cuentas cuando los datos personales se ven afectados por amenazas digitales o fallos operativos.<\/p><h4 data-start=\"18191\" data-end=\"18243\">Obligaci\u00f3n de garantizar una seguridad adecuada<\/h4><p data-start=\"18245\" data-end=\"19552\">La obligaci\u00f3n de adoptar medidas t\u00e9cnicas y organizativas adecuadas se encuentra entre las responsabilidades m\u00e1s relevantes del encargado del tratamiento de datos. El encargado suele estar m\u00e1s cerca que el responsable de los sistemas efectivos, los derechos de acceso, las bases de datos, las interfaces, los logs, las configuraciones en la nube y las medidas de seguridad. En consecuencia, ejerce una influencia directa sobre la protecci\u00f3n de los datos personales frente a la p\u00e9rdida, el acceso no autorizado, la destrucci\u00f3n, la alteraci\u00f3n, la exfiltraci\u00f3n o el tratamiento il\u00edcito. La seguridad adecuada debe evaluarse en relaci\u00f3n con el riesgo, el contexto, el estado de la t\u00e9cnica, los costes de aplicaci\u00f3n, la naturaleza de los datos personales, la extensi\u00f3n del tratamiento y las posibles consecuencias para los interesados. Una promesa gen\u00e9rica de que la seguridad es \u201cadecuada\u201d no resulta suficiente. El encargado del tratamiento debe poder demostrar concretamente qu\u00e9 medidas se han adoptado, c\u00f3mo se mantienen esas medidas, c\u00f3mo se gestionan las vulnerabilidades, c\u00f3mo se limita el acceso, c\u00f3mo se organiza el registro de logs y c\u00f3mo se estructura la recuperaci\u00f3n tras un incidente. La seguridad no es, por tanto, un anexo del servicio, sino una condici\u00f3n esencial para la licitud del tratamiento.<\/p><p data-start=\"19554\" data-end=\"21061\">En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, esta obligaci\u00f3n de seguridad adquiere una dimensi\u00f3n adicional. Los datos personales son con frecuencia el combustible de la criminalidad digital. Credenciales de acceso, copias de documentos de identidad, datos financieros, datos de contacto, informaci\u00f3n m\u00e9dica, expedientes de recursos humanos, perfiles de clientes y datos de comunicaci\u00f3n pueden utilizarse para phishing, fraude de identidad, extorsi\u00f3n, ransomware, ingenier\u00eda social, toma de control de cuentas y ataques dirigidos contra organizaciones o individuos. Un encargado del tratamiento que permite una autenticaci\u00f3n d\u00e9bil, aplica una segmentaci\u00f3n insuficiente, no supervisa los logs, descuida la gesti\u00f3n de parches o controla insuficientemente a los subencargados incrementa no solo los riesgos para la protecci\u00f3n de datos, sino tambi\u00e9n riesgos m\u00e1s amplios de criminalidad digital. La seguridad adecuada debe abordarse, por tanto, como una combinaci\u00f3n de prevenci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n. La prevenci\u00f3n incluye medidas como el cifrado, la limitaci\u00f3n de accesos, la autenticaci\u00f3n multifactor, la minimizaci\u00f3n de datos, el hardening y la configuraci\u00f3n segura. La detecci\u00f3n comprende la supervisi\u00f3n, el logging, la identificaci\u00f3n de anomal\u00edas y las alertas. La respuesta abarca procedimientos de incidente, escalada, contenci\u00f3n y preservaci\u00f3n forense. La recuperaci\u00f3n comprende copias de seguridad, medidas de continuidad, pruebas de restauraci\u00f3n y evaluaci\u00f3n.<\/p><p data-start=\"21063\" data-end=\"22503\">En la selecci\u00f3n y supervisi\u00f3n de un encargado del tratamiento de datos, el responsable del tratamiento debe, por tanto, evaluar sustantivamente si el nivel de seguridad es adecuado a la naturaleza del tratamiento. Certificaciones, informes de assurance, pruebas de penetraci\u00f3n, documentos de pol\u00edticas y declaraciones de seguridad pueden ser relevantes, pero no deben aceptarse acr\u00edticamente como prueba suficiente. La cuesti\u00f3n central sigue siendo si las medidas corresponden al tratamiento concreto y si el encargado est\u00e1 en condiciones de mantener la seguridad durante toda la duraci\u00f3n del servicio. La gesti\u00f3n de cambios tambi\u00e9n es relevante. Nuevas funcionalidades, migraciones, cambios en los subencargados, ubicaciones de almacenamiento diferentes o modelos de acceso alterados pueden modificar sustancialmente el perfil de riesgo. La obligaci\u00f3n de seguridad adecuada es, por tanto, din\u00e1mica: lo que hoy puede ser defendible puede resultar insuficiente ma\u00f1ana debido a nuevas amenazas, vulnerabilidades t\u00e9cnicas o flujos de datos modificados. En el marco de la gesti\u00f3n de la criminalidad digital, esto significa que la seguridad no puede limitarse a garant\u00edas contractuales en el momento de la firma. La evaluaci\u00f3n continua, los informes, el an\u00e1lisis de incidentes y el seguimiento directivo son necesarios para evitar que el encargado del tratamiento de datos se convierta en el punto d\u00e9bil de la protecci\u00f3n de los datos personales.<\/p><h4 data-start=\"22505\" data-end=\"22536\">Secreto y confidencialidad<\/h4><p data-start=\"22538\" data-end=\"23835\">El secreto y la confidencialidad constituyen una capa fundamental de protecci\u00f3n en toda relaci\u00f3n con un encargado del tratamiento. El encargado del tratamiento de datos debe garantizar que las personas autorizadas para acceder a los datos personales est\u00e9n sujetas a una obligaci\u00f3n adecuada de confidencialidad. Esta obligaci\u00f3n no se refiere \u00fanicamente a empleados permanentes, sino tambi\u00e9n a personal temporal, especialistas externos, personal de soporte, administradores, desarrolladores, consultores y otras personas que puedan obtener acceso a datos personales a trav\u00e9s del encargado. La confidencialidad es m\u00e1s que una cl\u00e1usula en un contrato laboral o en un c\u00f3digo general de conducta. Se refiere a una limitaci\u00f3n real del acceso, del conocimiento y del uso. Solo las personas que necesiten los datos personales para la ejecuci\u00f3n del encargo pueden obtener acceso, y dicho acceso debe estar limitado, registrado y controlado. Sin esas medidas, la confidencialidad sigue siendo una garant\u00eda meramente documental. El Reglamento General de Protecci\u00f3n de Datos exige que la confidencialidad se integre de forma concreta mediante gesti\u00f3n de autorizaciones, accesos basados en roles, formaci\u00f3n, logging, revisiones de acceso y consecuencias disciplinarias o contractuales en caso de incumplimiento.<\/p><p data-start=\"23837\" data-end=\"25176\">La importancia de la confidencialidad es especialmente elevada en entornos digitales en los que el acceso a datos personales puede producirse de forma remota, a trav\u00e9s de portales de soporte, herramientas de gesti\u00f3n, API o cuentas administrativas. Un empleado de un encargado del tratamiento puede, en ocasiones, obtener en poco tiempo acceso a grandes vol\u00famenes de datos sensibles. Una sola debilidad en la autorizaci\u00f3n, en la verificaci\u00f3n de personas o en la supervisi\u00f3n puede, por tanto, causar un da\u00f1o significativo. La confidencialidad est\u00e1 directamente vinculada a riesgos internos, violaciones de datos personales, ingenier\u00eda social y abuso de derechos administrativos. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, el secreto debe conectarse con una gesti\u00f3n m\u00e1s amplia de la criminalidad digital. El riesgo no se limita a atacantes externos que penetran en los sistemas; tambi\u00e9n el acceso interno o semiinterno puede ser objeto de abuso, coacci\u00f3n o supervisi\u00f3n insuficiente. Esto incluye consultas no autorizadas, exportaciones il\u00edcitas, manipulaci\u00f3n de datos, venta de informaci\u00f3n, tratamiento negligente de datos de clientes o abuso de derechos de soporte. Una obligaci\u00f3n seria de confidencialidad exige, por tanto, una combinaci\u00f3n de vinculaci\u00f3n jur\u00eddica, disciplina organizativa y restricci\u00f3n t\u00e9cnica.<\/p><p data-start=\"25178\" data-end=\"26622\" data-is-last-node=\"\" data-is-only-node=\"\">El encargado del tratamiento debe poder demostrar que la confidencialidad est\u00e1 garantizada dentro de su propia organizaci\u00f3n y en la cadena de subencargados. Esto significa que las obligaciones de confidencialidad deben estar documentadas contractualmente, pero tambi\u00e9n que el acceso a datos personales debe revisarse peri\u00f3dicamente, que la finalizaci\u00f3n de una relaci\u00f3n laboral debe dar lugar a una r\u00e1pida revocaci\u00f3n de derechos, que el acceso privilegiado debe gestionarse rigurosamente y que los accesos excepcionales deben registrarse y evaluarse. La formaci\u00f3n tambi\u00e9n desempe\u00f1a un papel importante. Las personas con acceso a datos personales deben comprender qu\u00e9 datos se tratan, qu\u00e9 limitaciones se aplican, c\u00f3mo reconocer el phishing y la ingenier\u00eda social, c\u00f3mo notificar incidentes y qu\u00e9 consecuencias puede tener un tratamiento no autorizado. La confidencialidad no es, por tanto, una obligaci\u00f3n est\u00e1tica, sino un proceso activo de control. Un encargado del tratamiento de datos que toma en serio la confidencialidad limita el acceso a lo estrictamente necesario, supervisa constantemente dicho acceso y crea una cultura demostrable de cuidado en torno a los datos personales. Esto no solo refuerza jur\u00eddicamente la relaci\u00f3n con el encargado del tratamiento, sino que tambi\u00e9n la hace m\u00e1s resiliente frente a los riesgos de criminalidad digital derivados del error humano, las vulnerabilidades internas y el abuso de autoridad operativa.<\/p><h4 data-start=\"0\" data-end=\"65\">Recurso a subencargados del tratamiento sujeto a condiciones<\/h4><p data-start=\"67\" data-end=\"1406\">El recurso a subencargados del tratamiento constituye uno de los aspectos m\u00e1s sensibles de la relaci\u00f3n con el encargado del tratamiento, porque los datos personales dejan de permanecer exclusivamente dentro de la esfera operativa directa del encargado principal. Cada subencargado a\u00f1ade un nuevo eslab\u00f3n a la cadena de tratamiento de datos y, con ello, un nuevo punto en el que la confidencialidad, la disponibilidad, la integridad, la transferencia, la seguridad y el control pueden verse afectados. El Reglamento General de Protecci\u00f3n de Datos exige, por tanto, que un encargado del tratamiento no pueda recurrir libremente a otros encargados sin autorizaci\u00f3n previa o sin un marco contractual que garantice el mismo nivel de protecci\u00f3n previsto en la relaci\u00f3n inicial de tratamiento. Esta exigencia reviste una importancia fundamental, porque el responsable del tratamiento no debe verse confrontado, a posteriori, con una cadena efectiva de proveedores, entidades de alojamiento, prestadores de soporte, socios de infraestructura o sociedades extranjeras del grupo de la que no ten\u00eda conocimiento previo. El recurso a subencargados modifica la naturaleza del riesgo: all\u00ed donde inicialmente exist\u00eda una sola relaci\u00f3n contractual, surge una cadena en la que cada eslab\u00f3n puede reforzar o debilitar la protecci\u00f3n de los datos personales.<\/p><p data-start=\"1408\" data-end=\"2854\">En la pr\u00e1ctica, el subtratamiento suele estar integrado en los servicios digitales modernos. Los proveedores de nube trabajan con centros de datos, redes de distribuci\u00f3n de contenidos, ubicaciones de soporte, proveedores de seguridad, componentes de anal\u00edtica y m\u00f3dulos de software de terceros. Las plataformas SaaS pueden apoyarse en alojamiento externo, proveedores de correo electr\u00f3nico, servicios de logging, herramientas de monitorizaci\u00f3n, soluciones de autenticaci\u00f3n y prestadores de soporte al cliente. Como consecuencia, una relaci\u00f3n con un encargado del tratamiento aparentemente sencilla puede descansar, en realidad, sobre una cadena internacional y t\u00e9cnicamente estratificada. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, dicha cadena debe ser visible, evaluable y contractualmente controlable. No solo resulta relevante la identidad del subencargado, sino tambi\u00e9n la funci\u00f3n que desempe\u00f1a, las categor\u00edas de datos personales afectadas, el lugar del tratamiento, las medidas de seguridad aplicadas, cualquier posible transferencia fuera del Espacio Econ\u00f3mico Europeo, los procedimientos de notificaci\u00f3n de incidentes y las posibilidades de auditor\u00eda o verificaci\u00f3n. Sin esta informaci\u00f3n, el responsable del tratamiento no puede valorar si el recurso al subencargado es compatible con sus propias obligaciones en materia de protecci\u00f3n de datos y con el marco m\u00e1s amplio de gesti\u00f3n de la criminalidad digital.<\/p><p data-start=\"2856\" data-end=\"4406\">Una cl\u00e1usula cuidadosamente redactada sobre subencargados exige, por tanto, algo m\u00e1s que una autorizaci\u00f3n gen\u00e9rica incluida en un contrato est\u00e1ndar. Resulta importante que el responsable del tratamiento reciba, de forma previa o peri\u00f3dica, una lista actualizada de los subencargados, que las modificaciones sustanciales se comuniquen con suficiente antelaci\u00f3n y que el responsable pueda oponerse cuando un nuevo subencargado genere un riesgo inaceptable. El encargado principal del tratamiento debe, adem\u00e1s, garantizar contractualmente que cada subencargado quede vinculado por obligaciones equivalentes en materia de seguridad, confidencialidad, instrucciones, respuesta a incidentes, supresi\u00f3n, transferencias y cooperaci\u00f3n. La responsabilidad por una cadena adecuadamente controlada no termina con la mera transmisi\u00f3n de cl\u00e1usulas contractuales. Un encargado del tratamiento que recurre a subencargados debe poder demostrar que la selecci\u00f3n se ha realizado con diligencia, que los riesgos han sido evaluados, que las garant\u00edas se supervisan y que las deficiencias pueden ser objeto de seguimiento efectivo. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, esto resulta esencial, porque los riesgos de criminalidad digital suelen materializarse a trav\u00e9s del eslab\u00f3n m\u00e1s d\u00e9bil de la cadena. Un encargado principal s\u00f3lido pierde gran parte de su valor si un subencargado insuficientemente controlado tiene acceso a datos personales, datos de logging, copias de seguridad o sistemas de administraci\u00f3n sin garant\u00edas equivalentes.<\/p><h4 data-start=\"4408\" data-end=\"4474\">Asistencia en el ejercicio de los derechos de los interesados<\/h4><p data-start=\"4476\" data-end=\"5731\">El encargado del tratamiento desempe\u00f1a un papel importante de apoyo en el ejercicio de los derechos de los interesados. Los derechos de acceso, rectificaci\u00f3n, supresi\u00f3n, limitaci\u00f3n del tratamiento, portabilidad de los datos y oposici\u00f3n pueden, en el plano formal, dirigirse al responsable del tratamiento, pero su ejecuci\u00f3n pr\u00e1ctica depende con frecuencia de sistemas y entornos de datos gestionados por el encargado. Cuando los datos personales se encuentran almacenados en sistemas cloud, bases de datos de aplicaciones, entornos de copia de seguridad, portales de clientes, archivos de log o sistemas de soporte t\u00e9cnico, el responsable del tratamiento no puede tramitar de forma completa o dentro de los plazos exigidos una solicitud de un interesado sin la cooperaci\u00f3n del encargado del tratamiento. El deber de asistencia del encargado no es, por tanto, meramente accesorio, sino que incide directamente en la efectividad pr\u00e1ctica de los derechos en materia de protecci\u00f3n de datos. Un derecho que existe en el plano jur\u00eddico, pero que no puede ejecutarse t\u00e9cnicamente dentro de un plazo razonable, pierde gran parte de su significado y puede dar lugar a reclamaciones, riesgos de actuaci\u00f3n por parte de la autoridad de control y p\u00e9rdida de confianza.<\/p><p data-start=\"5733\" data-end=\"7096\">Esta obligaci\u00f3n exige procesos establecidos con antelaci\u00f3n. No basta con que un encargado del tratamiento examine \u00fanicamente despu\u00e9s de recibir una solicitud concreta si los datos pueden localizarse, exportarse, corregirse o suprimirse. Los sistemas, procesos y acuerdos contractuales deben tener en cuenta los derechos de los interesados desde el inicio. Esto significa que los datos personales deben ser localizables, las categor\u00edas de datos deben estar suficientemente clasificadas, deben existir funcionalidades de exportaci\u00f3n, la supresi\u00f3n debe ser t\u00e9cnicamente realizable, las limitaciones deben poder aplicarse y debe quedar claro qu\u00e9 datos se encuentran en sistemas activos, archivos, copias de seguridad, entornos de logging y cadenas de subencargados. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, esta operacionalizaci\u00f3n reviste especial importancia. La incapacidad de localizar o corregir los datos a tiempo puede no solo implicar una vulneraci\u00f3n de los derechos de protecci\u00f3n de datos, sino tambi\u00e9n provocar decisiones err\u00f3neas, identificaciones incorrectas, procesos de cliente sensibles al fraude, alertas injustificadas o un aumento de los riesgos de criminalidad digital. La calidad de los datos, la trazabilidad y el ejercicio efectivo de los derechos est\u00e1n, por tanto, estrechamente vinculados a la integridad digital.<\/p><p data-start=\"7098\" data-end=\"8571\">El acuerdo de tratamiento de datos debe regular de forma concreta c\u00f3mo se prestar\u00e1 la asistencia relativa a los derechos de los interesados, dentro de qu\u00e9 plazos deber\u00e1 responder el encargado del tratamiento, qu\u00e9 canales de comunicaci\u00f3n se utilizar\u00e1n, qu\u00e9 costes podr\u00e1n eventualmente cargarse, c\u00f3mo se gestionar\u00e1 la verificaci\u00f3n de identidad y c\u00f3mo se garantizar\u00e1 que el encargado no adopte decisiones sustantivas reservadas al responsable del tratamiento. El encargado del tratamiento debe prestar asistencia, pero no debe determinar sin instrucciones si una solicitud debe estimarse o rechazarse, salvo que acuerdos contractuales espec\u00edficos y par\u00e1metros jur\u00eddicos lo permitan. Debe garantizarse, adem\u00e1s, que las solicitudes recibidas directamente por el encargado sean remitidas inmediatamente o tratadas conforme a instrucciones previamente establecidas. En un marco correctamente controlado, cada solicitud se considera una prueba de la calidad de los datos, del dise\u00f1o de los sistemas y de la accountability. Cuando una organizaci\u00f3n depende de un encargado que no puede proporcionar una exportaci\u00f3n fiable, capacidades de b\u00fasqueda dirigida o supresi\u00f3n verificable, surge una vulnerabilidad estructural. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, el encargado del tratamiento debe evaluarse, por tanto, en funci\u00f3n de la medida en que su servicio t\u00e9cnico contribuye realmente a la transparencia, la controlabilidad y la protecci\u00f3n jur\u00eddica.<\/p><h4 data-start=\"8573\" data-end=\"8686\">Cooperaci\u00f3n en materia de seguridad, incidentes y evaluaciones de impacto relativas a la protecci\u00f3n de datos<\/h4><p data-start=\"8688\" data-end=\"10015\">El encargado del tratamiento debe apoyar al responsable del tratamiento en el cumplimiento de las obligaciones relativas a la seguridad, las violaciones de datos personales, los an\u00e1lisis de riesgos y las evaluaciones de impacto relativas a la protecci\u00f3n de datos. Este deber de cooperaci\u00f3n deriva de la posici\u00f3n del encargado como sujeto que, con frecuencia, dispone de la visibilidad m\u00e1s directa sobre los entornos t\u00e9cnicos, los registros de acceso, las configuraciones, las vulnerabilidades, las alertas del sistema, las actividades de soporte y los incidentes operativos. El responsable del tratamiento puede estar jur\u00eddicamente obligado a evaluar las medidas de seguridad, notificar a tiempo las violaciones de datos personales o realizar una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos, pero para ello necesita informaci\u00f3n que a menudo se encuentra en poder del encargado del tratamiento. Un encargado que proporciona informaci\u00f3n insuficiente o tard\u00eda puede colocar al responsable del tratamiento en una situaci\u00f3n en la que no se cumplen los plazos legales, los riesgos no se comprenden plenamente y las medidas correctivas no quedan suficientemente fundamentadas. La cooperaci\u00f3n no es, por tanto, una cuesti\u00f3n de cortes\u00eda, sino una condici\u00f3n necesaria para una gesti\u00f3n de riesgos l\u00edcita, verificable y eficaz.<\/p><p data-start=\"10017\" data-end=\"11431\">La rapidez resulta especialmente importante en caso de incidentes de seguridad. Una violaci\u00f3n de datos personales o un incidente cibern\u00e9tico puede evolucionar con mayor rapidez que la capacidad de respuesta de la toma de decisiones jur\u00eddica. El ransomware, el robo de credenciales, el acceso no autorizado, el malware, las configuraciones err\u00f3neas, el abuso de API o la exfiltraci\u00f3n pueden producir en poco tiempo consecuencias significativas para los interesados y para las organizaciones. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, debe quedar claro de antemano qu\u00e9 eventos se califican como incidentes, cu\u00e1ndo resulta obligatoria la escalada, qu\u00e9 informaci\u00f3n debe proporcionar el encargado del tratamiento, qu\u00e9 datos forenses deben preservarse, qui\u00e9n est\u00e1 autorizado para comunicar, qu\u00e9 medidas de contenci\u00f3n se aplican y c\u00f3mo deben asegurarse las pruebas. No se trata \u00fanicamente de la notificaci\u00f3n formal de una violaci\u00f3n de datos personales, sino tambi\u00e9n de la calidad de la reconstrucci\u00f3n f\u00e1ctica. Sin logging, cronolog\u00edas, an\u00e1lisis t\u00e9cnico, evaluaci\u00f3n de impacto y visibilidad sobre los conjuntos de datos afectados, el responsable del tratamiento no puede valorar si resulta necesaria una notificaci\u00f3n a la autoridad de control o a los interesados. El encargado desempe\u00f1a, por tanto, un papel determinante en la transici\u00f3n de la perturbaci\u00f3n t\u00e9cnica a la calificaci\u00f3n jur\u00eddica.<\/p><p data-start=\"11433\" data-end=\"13190\">El encargado del tratamiento debe, adem\u00e1s, estar en condiciones de proporcionar informaci\u00f3n sustantiva para las evaluaciones de impacto relativas a la protecci\u00f3n de datos y para an\u00e1lisis de riesgos m\u00e1s amplios. Cuando un tratamiento puede entra\u00f1ar un alto riesgo para los derechos y libertades de los interesados, puede ser necesaria una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos. El responsable del tratamiento sigue siendo el principal responsable de dicha evaluaci\u00f3n, pero el encargado debe poder proporcionar informaci\u00f3n sobre las funcionalidades de los sistemas, las medidas de seguridad, los flujos de datos, la gesti\u00f3n de accesos, los per\u00edodos de conservaci\u00f3n, los subencargados, las transferencias y las limitaciones t\u00e9cnicas. Esta informaci\u00f3n debe ser suficientemente concreta para permitir una verdadera valoraci\u00f3n de los riesgos. Las declaraciones gen\u00e9ricas de conformidad o la documentaci\u00f3n comercial no son suficientes para tal fin. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, la evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos debe entenderse, adem\u00e1s, como algo m\u00e1s que una formalidad del derecho de protecci\u00f3n de datos. Constituye un instrumento para examinar de forma sistem\u00e1tica los riesgos de criminalidad digital, los escenarios de abuso, las dependencias, las vulnerabilidades y las capacidades de respuesta. El encargado del tratamiento no debe limitarse a responder preguntas, sino contribuir activamente a la comprensi\u00f3n del funcionamiento real de la tecnolog\u00eda. Un encargado que no ofrece transparencia sobre procesos cr\u00edticos o que no puede proporcionar informaci\u00f3n adecuada sobre incidentes constituye un riesgo de gobernanza que debe evaluarse antes de la conclusi\u00f3n del contrato.<\/p><h4 data-start=\"13192\" data-end=\"13256\">Supresi\u00f3n o devoluci\u00f3n de los datos al t\u00e9rmino del servicio<\/h4><p data-start=\"13258\" data-end=\"14466\">Tras la finalizaci\u00f3n de los servicios, el encargado del tratamiento debe suprimir o devolver los datos personales al responsable del tratamiento, en funci\u00f3n de las instrucciones, los acuerdos contractuales y las eventuales obligaciones legales de conservaci\u00f3n. Esta obligaci\u00f3n reviste gran importancia, porque el final de una relaci\u00f3n de servicio no significa autom\u00e1ticamente que los datos personales desaparezcan efectivamente de los sistemas. Los datos pueden permanecer en entornos de producci\u00f3n, copias de seguridad, archivos, entornos de prueba, archivos de log, tickets de soporte, r\u00e9plicas, exportaciones, almacenamientos temporales, entornos de recuperaci\u00f3n ante desastres o sistemas de subencargados. En ausencia de acuerdos claros de salida, persiste el riesgo de que los datos personales sigan siendo accesibles, vulnerables o conservados il\u00edcitamente tras la finalizaci\u00f3n de la relaci\u00f3n. La fase de cierre constituye, por tanto, un momento cr\u00edtico en el ciclo de vida del tratamiento de datos. Mientras que los contratos suelen dedicar considerable atenci\u00f3n al inicio de los servicios, la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital exige tambi\u00e9n una regulaci\u00f3n precisa de su conclusi\u00f3n.<\/p><p data-start=\"14468\" data-end=\"15656\">Un proceso de salida cuidadoso debe dise\u00f1arse con antelaci\u00f3n y no debe improvisarse cuando la relaci\u00f3n ya se encuentra bajo presi\u00f3n o cuando la terminaci\u00f3n ya ha sido notificada. El responsable del tratamiento debe poder determinar si los datos personales ser\u00e1n devueltos, en qu\u00e9 formato, dentro de qu\u00e9 plazo, a trav\u00e9s de qu\u00e9 canal seguro, con qu\u00e9 verificaci\u00f3n y con qu\u00e9 garant\u00edas de integridad. Cuando se exige la supresi\u00f3n, debe quedar claro qu\u00e9 sistemas se ven afectados, c\u00f3mo se ejecutar\u00e1 la supresi\u00f3n, c\u00f3mo intervendr\u00e1n los subencargados, c\u00f3mo se tratar\u00e1n las copias de seguridad y c\u00f3mo se demostrar\u00e1 que los datos ya no est\u00e1n disponibles para el tratamiento ordinario. Las copias de seguridad requieren especial atenci\u00f3n, porque la supresi\u00f3n f\u00edsica inmediata puede resultar t\u00e9cnicamente compleja en algunos casos. En tal supuesto, deben existir acuerdos relativos al aislamiento, la exclusi\u00f3n del uso activo, la sobrescritura autom\u00e1tica, los per\u00edodos de conservaci\u00f3n y las restricciones de restauraci\u00f3n. Sin tal precisi\u00f3n, un encargado puede invocar limitaciones t\u00e9cnicas mientras los datos personales contin\u00faan existiendo, en realidad, durante m\u00e1s tiempo del necesario o permitido.<\/p><p data-start=\"15658\" data-end=\"17084\">La obligaci\u00f3n de suprimir o devolver los datos tambi\u00e9n tiene relevancia para la gesti\u00f3n de la criminalidad digital. Los conjuntos de datos residuales constituyen objetivos atractivos para los atacantes, sobre todo cuando quedan fuera de la monitorizaci\u00f3n activa o de los procesos ordinarios de seguridad. Antiguas exportaciones, archivos de migraci\u00f3n, copias de seguridad o copias de prueba pueden contener datos personales sensibles sin que la organizaci\u00f3n sea todav\u00eda consciente de su existencia. Esto incrementa el riesgo de violaciones de datos personales, fraude de identidad, acceso no autorizado y abuso. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, la conservaci\u00f3n de datos debe considerarse, por tanto, no solo como una cuesti\u00f3n de plazos de conservaci\u00f3n, sino tambi\u00e9n como una cuesti\u00f3n de riesgo. Cuanto m\u00e1s tiempo permanecen innecesariamente existentes los datos personales, mayor se vuelve la superficie de ataque y m\u00e1s dif\u00edcil resulta mantener el control. Un encargado del tratamiento debe poder demostrar que la finalizaci\u00f3n conduce a un cierre controlado, a una transferencia segura, a una supresi\u00f3n demostrable y a la revocaci\u00f3n de accesos. Un acuerdo de salida claro no solo protege la posici\u00f3n jur\u00eddica del responsable del tratamiento, sino que tambi\u00e9n impide que el tratamiento externalizado de datos contin\u00fae tras la finalizaci\u00f3n de la relaci\u00f3n en forma de vulnerabilidad oculta.<\/p><h4 data-start=\"17086\" data-end=\"17138\">Demostrabilidad y disponibilidad para auditor\u00eda<\/h4><p data-start=\"17140\" data-end=\"18308\">La demostrabilidad constituye la garant\u00eda final de las obligaciones del encargado del tratamiento. Un encargado del tratamiento debe poner a disposici\u00f3n informaci\u00f3n suficiente para permitir la verificaci\u00f3n del cumplimiento del Reglamento General de Protecci\u00f3n de Datos y del acuerdo de tratamiento de datos. Esta obligaci\u00f3n se conecta con el principio m\u00e1s amplio de accountability: no solo se exige el cumplimiento de las reglas, sino tambi\u00e9n la capacidad de demostrar dicho cumplimiento de forma convincente. Para el responsable del tratamiento, esto es esencial, porque la responsabilidad formal permanece incluso cuando el tratamiento ha sido externalizado. Sin acceso a informaci\u00f3n relevante, no puede establecerse si el encargado del tratamiento respeta las instrucciones, aplica una seguridad adecuada, gestiona cuidadosamente a los subencargados, notifica los incidentes a tiempo, asiste en el ejercicio de los derechos de los interesados y suprime correctamente los datos tras la finalizaci\u00f3n de la relaci\u00f3n. La demostrabilidad no es, por tanto, una cuesti\u00f3n administrativa secundaria, sino un presupuesto del control directivo y de la defendibilidad jur\u00eddica.<\/p><p data-start=\"18310\" data-end=\"19766\">La disponibilidad para auditor\u00eda debe estructurarse de forma pr\u00e1ctica y proporcionada. Puede adoptar la forma de informes peri\u00f3dicos, certificaciones, declaraciones de assurance, informes de seguridad, resultados de pruebas de penetraci\u00f3n, informaci\u00f3n relativa a evaluaciones de impacto sobre la protecci\u00f3n de datos, listados de subencargados, informes de incidentes, documentos de pol\u00edticas, declaraciones t\u00e9cnicas o auditor\u00edas espec\u00edficas. La forma concreta depende de la naturaleza del tratamiento, del perfil de riesgo, de la sensibilidad de los datos y de la posici\u00f3n del encargado. Un tratamiento a gran escala o de alto riesgo puede exigir mayor profundidad que un apoyo administrativo limitado. Al mismo tiempo, la disponibilidad para auditor\u00eda no debe vaciarse de contenido mediante restricciones excesivamente amplias, discrecionalidad unilateral del encargado o documentaci\u00f3n exclusivamente gen\u00e9rica. Un mecanismo de auditor\u00eda debe permitir realmente al responsable del tratamiento obtener una garant\u00eda razonable sobre el cumplimiento. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, la informaci\u00f3n de auditor\u00eda no debe limitarse, adem\u00e1s, a declaraciones de privacidad, sino que debe ofrecer visibilidad sobre los riesgos de criminalidad digital, los incidentes de seguridad, la gesti\u00f3n de accesos, las vulnerabilidades, la capacidad de recuperaci\u00f3n, las cadenas de subencargados y las dependencias operativas relevantes.<\/p><p data-start=\"19768\" data-end=\"21138\" data-is-last-node=\"\" data-is-only-node=\"\">Una estructura s\u00f3lida de auditor\u00eda y rendici\u00f3n de cuentas refuerza toda la cadena de tratamiento de datos. Hace visibles los puntos en los que surgen riesgos, las medidas de mejora necesarias y los acuerdos contractuales que deben reforzarse. Un encargado del tratamiento dispuesto a la transparencia, a la verificaci\u00f3n y al seguimiento correctivo demuestra que la protecci\u00f3n de datos no se trata como una mera obligaci\u00f3n contractual, sino como parte integrante de la prestaci\u00f3n profesional de servicios digitales. Para el responsable del tratamiento, esto crea una posici\u00f3n m\u00e1s defendible frente a las autoridades de control, los interesados, los \u00f3rganos directivos, los clientes y otros stakeholders. Una disponibilidad insuficiente para auditor\u00eda constituye, por el contrario, una se\u00f1al de alarma seria. Un encargado que se niega a proporcionar visibilidad sobre seguridad, subencargados, incidentes o cumplimiento est\u00e1 pidiendo, en realidad, confianza sin control. En un contexto caracterizado por riesgos crecientes de criminalidad digital, ello resulta insuficiente. En el marco de la Gesti\u00f3n Integrada de Riesgos de Criminalidad Digital, el encargado del tratamiento debe, por tanto, no solo tratar los datos conforme a las instrucciones, sino tambi\u00e9n poder demostrar que dicho tratamiento es l\u00edcito, seguro, controlable y resiliente a lo largo de toda la cadena.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-e5d319b elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"e5d319b\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-e90e95d\" data-id=\"e90e95d\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-8c7fe86 elementor-widget elementor-widget-spacer\" data-id=\"8c7fe86\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"spacer.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"elementor-spacer\">\n\t\t\t<div class=\"elementor-spacer-inner\"><\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-2601d28 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"2601d28\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7588dc1\" data-id=\"7588dc1\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-f283ea5 elementor-widget elementor-widget-post-grid\" data-id=\"f283ea5\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"post-grid.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\r\n\r\n<div class=\"blog-container blog-container-grid\">\r\n    \r\n    <div class=\"wi-blog fox-blog blog-grid fox-grid blog-card-has-shadow blog-card-normal column-3 spacing-normal\">\r\n    \r\n    \n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22504 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/prevencion\/\" rel=\"bookmark\">        \r\n        Prevenci\u00f3n\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22510 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/deteccion\/\" rel=\"bookmark\">        \r\n        Detecci\u00f3n\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22515 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/investigacion\/\" rel=\"bookmark\">        \r\n        Investigaci\u00f3n\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22520 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/respuesta\/\" rel=\"bookmark\">        \r\n        Respuesta\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22526 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/asesoramiento\/\" rel=\"bookmark\">        \r\n        Asesoramiento\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22531 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/litigio\/\" rel=\"bookmark\">        \r\n        Litigio\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22536 post type-post status-publish format-standard has-post-thumbnail hentry category-estructura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/es\/acerca-de\/estructura\/negociacion\/\" rel=\"bookmark\">        \r\n        Negociaci\u00f3n\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->        \r\n            \r\n    <\/div><!-- .fox-blog -->\r\n    \r\n        \r\n<\/div><!-- .fox-blog-container -->\r\n\r\n    \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>El encargado del tratamiento ocupa, en el marco del Reglamento General de Protecci\u00f3n de Datos, una posici\u00f3n que va mucho m\u00e1s all\u00e1 de la imagen tradicional de un prestador externo que realiza meramente operaciones t\u00e9cnicas. En una econom\u00eda digital en la que las infraestructuras en la nube, las plataformas SaaS, los proveedores de servicios gestionados, los centros de datos, los proveedores de ciberseguridad, los sistemas de recursos humanos, los procesadores de pagos, las tecnolog\u00edas de marketing y los servicios especializados de anal\u00edtica soportan una parte sustancial del tratamiento operativo de datos, el encargado del tratamiento se sit\u00faa en el centro<\/p>\n","protected":false},"author":1,"featured_media":34732,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[41],"tags":[],"class_list":["post-24468","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacidad-datos-y-ciberseguridad"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/posts\/24468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/comments?post=24468"}],"version-history":[{"count":17,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/posts\/24468\/revisions"}],"predecessor-version":[{"id":34799,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/posts\/24468\/revisions\/34799"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/media\/34732"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/media?parent=24468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/categories?post=24468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/es\/wp-json\/wp\/v2\/tags?post=24468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}