¿Qué es el tratamiento de datos por encargo?

El tratamiento de datos por encargo (PDC) se refiere al tratamiento de datos personales por un proveedor de servicios externo en nombre de una empresa. Desde que entró en vigor el GDPR, ahora se suele utilizar el término tratamiento de pedidos (ODP). La base jurídica se encuentra en Art. 28 GDPR.

En concreto, esto significa que una empresa que recoge datos de clientes, empleados o proveedores puede externalizar este tratamiento a un proveedor de servicios especializado. Sin embargo, este encargado del tratamiento no puede utilizar los datos para sus propios fines, sino sólo de acuerdo con las especificaciones de la empresa considerada responsable del tratamiento. Esto garantiza la protección de los datos personales aunque no se procesen directamente en la propia empresa.

Whitepaper Selección de proveedores de ERP: Saca el máximo partido a tus talleres de ERP

Whitepaper gratuito

Existen innumerables proveedores de ERP. Sigue leyendo para saber en qué debes fijarte a la hora de elegir.
Solicitar ahora gratis

Procesamiento de datos de pedidos en el contexto ERP

Im Zusammenhang mit ERP-Systemen (Enterprise Resource Planning) spielt die Auftragsverarbeitung eine besonders wichtige Rolle. Immer dann, wenn ein ERP-System nicht lokal auf den Servern des Unternehmens installiert ist, sondern als Cloud- oder SaaS-Lösung genutzt wird, verarbeitet der ERP-Anbieter oder ein externer IT-Dienstleister personenbezogene Daten im Auftrag des Unternehmens, wie zum Beispiel:

  • Datos de clientes e información de proveedores en la gestión de mercancías
  • Datos de empleados en módulos de RRHH o de cálculo de nóminas
  • Datos financieros y contables en contabilidad
  • Datos de proyectos con referencias personales en módulos de gestión de proyectos

Como todos estos datos suelen ser críticos para la empresa y sensibles, es imprescindible que exista un acuerdo de tratamiento de datos. (AVV). En él se regulan las condiciones en las que el proveedor de ERP o de servicios informáticos procesa los datos por cuenta de la empresa.

Ejemplo PYME: Una mediana empresa de producción se decide por un ERP en la nube. Los datos de los clientes, las listas de piezas y la información de los proveedores ya no se almacenan localmente, sino que se procesan en los servidores del proveedor de ERP. En este caso, la empresa debe celebrar un APD con el proveedor que regule exactamente cómo se tratan los datos de los clientes y qué medidas de seguridad se aplican.

Ejemplo de grupo: Un grupo internacional utiliza un sistema ERP que utilizan varias sedes en todo el mundo. Además del procesamiento de datos centralizado en la contabilidad financiera, también se ven afectados los datos de RRHH de varios países. Aquí no sólo interviene la APD con el proveedor del ERP, sino también la integración y auditoría de numerosos subcontratistas y centros de datos.

Obligaciones del cliente

Aunque el tratamiento real lo lleve a cabo un proveedor de servicios, la propia empresa sigue siendo responsable del cumplimiento de la normativa sobre protección de datos. El GDPR asigna claramente la responsabilidad principal al cliente. Las obligaciones típicas son:

  • Selección cuidadosa del proveedor de ERP o de servicios informáticos: Antes de celebrar un contrato, debe comprobarse si el proveedor aplica las medidas técnicas y organizativas necesarias para proteger los datos.
  • Celebración de un APD: Sin este contrato, el tratamiento no está legalmente autorizado. El APD constituye la base para cualquier forma de tratamiento de datos encargado.
  • Obligaciones de supervisión y documentación: La empresa debe comprobar periódicamente si el proveedor cumple las medidas acordadas y documentarlo. Las auditorías y las pruebas son la norma en este caso.
  • Comprobación de subcontratistas: Muchos proveedores de ERP trabajan con proveedores de alojamiento o en la nube. Estos también deben registrarse y comprobarse contractualmente.

Ejemplo: Una empresa utiliza un ERP en la nube que funciona en los servidores de un gran hiperescalador (por ejemplo, AWS o Azure). La empresa no sólo debe celebrar un APD con el proveedor del ERP, sino también asegurarse de que el proveedor ha integrado adecuadamente a sus propios subcontratistas.

Contrato de tramitación de pedidos (AVV)

Un APD es el documento central que regula la cooperación entre el cliente y el encargado del tratamiento. Define de forma vinculante qué datos pueden tratarse, cómo, con qué finalidad y bajo qué normas de seguridad. Un APD debe contener, entre otros, los siguientes puntos:

  • Finalidad y duración del tratamiento: ¿Qué datos se tratan y durante cuánto tiempo?
  • Tipo y finalidad del tratamiento: Por ejemplo, contabilidad de nóminas, CRM o contabilidad financiera.
  • Categorías de interesados: Clientes, empleados, proveedores o socios comerciales.
  • Derechos y obligaciones del responsable del tratamiento: ¿Qué derechos de control tiene la empresa, cómo se organiza la cooperación?
  • Medidas técnicas y organizativas (MTO): ¿Qué medidas de seguridad aplica el proveedor (por ejemplo, encriptación, controles de acceso)?
  • Normativa sobre subprocesadores: ¿Puede el proveedor de ERP utilizar otros proveedores de servicios y, en caso afirmativo, en qué condiciones?

Mientras que en la antigua Ley Federal de Protección de Datos (BDSG) era obligatorio un contrato escrito, ahora el GDPR también permite una forma digital, por ejemplo mediante firma electrónica.

Cambios debidos al GDPR

El GDPR ha introducido algunas innovaciones significativas en comparación con la antigua BDSG:

Responsabilidad compartida de los encargados del tratamiento: A diferencia del pasado, los propios proveedores de servicios también son responsables del cumplimiento de la normativa de protección de datos. Pueden ser considerados responsables en caso de infracción.

Control conjunto: Si varias partes deciden conjuntamente la finalidad y los medios del tratamiento de datos, se habla de responsabilidad conjunta. En este caso, todas las partes implicadas son personas de contacto para los interesados.

La obligación de seguir instrucciones sigue vigente: Incluso bajo el GDPR, el proveedor de servicios sólo puede procesar los datos de acuerdo con las instrucciones de la empresa. Si toman decisiones no autorizadas, ellos mismos se convierten en responsables del tratamiento, con todas las consecuencias legales.

Ejemplo para el contexto ERP: El uso conjunto de un ERP en la nube por parte de una empresa matriz y su filial. Ambas partes determinan conjuntamente qué datos se procesan, qué derechos de acceso existen y con qué fines tiene lugar el procesamiento. En estos casos, esto se denomina control conjunto, y es crucial un acuerdo contractual claro para definir claramente las responsabilidades.

Aviso legal:

El contenido gratuito y de libre acceso de este sitio web ha sido creado con el mayor cuidado posible. Sin embargo, señalamos expresamente que no asumimos ninguna garantía u otra responsabilidad por la exactitud, actualidad o integridad de las guías periodísticas y la información proporcionadas en este sitio web.

El contenido de este sitio web no pretende ser un asesoramiento jurídico para tu empresa en el que puedas confiar para el cumplimiento de la normativa legal sobre protección de datos -en particular el GDPR- ni puede sustituir al asesoramiento jurídico individual.

Además, al acceder a este contenido gratuito y de libre acceso, no se establece ninguna relación contractual entre nosotros y tú como usuario del sitio web en ausencia de la correspondiente intención legalmente vinculante por nuestra parte.

Whitepaper Selección de proveedores de ERP: Saca el máximo partido a tus talleres de ERP

Whitepaper gratuito

Existen innumerables proveedores de ERP. Sigue leyendo para saber en qué debes fijarte a la hora de elegir.
Solicitar ahora gratis

Preguntas frecuentes sobre el tratamiento de datos de pedidos (ADV):

¿Qué es el tratamiento de datos de pedidos (ADV)?

Tratamiento de datos personales por un proveedor de servicios externo en nombre de una empresa. El GDPR suele utilizar el término »procesamiento de pedidos».

¿Cuándo es necesario un APD con un proveedor de ERP?

Siempre que los datos personales sean tratados por el proveedor de ERP o sus subcontratistas, por ejemplo con soluciones ERP en la nube o SaaS.

¿Quién es el controlador y quién el procesador?

La empresa que utiliza el ERP es el controlador. El proveedor del ERP o un proveedor de servicios informáticos supervisor es el encargado del tratamiento.

¿Qué datos se generan normalmente en el procesamiento de pedidos ERP?

Datos de clientes, datos de empleados, información de proveedores, datos financieros y contables o datos de proyectos.

¿Qué ocurre sin AVV?

Sin una APD válida, el tratamiento es ilegal. Las empresas no sólo se arriesgan a multas elevadas, sino también a perder la confianza de clientes y socios comerciales.