Cuestiones a vigilar cuando se subcontrata un servicio que requiere manejar información personal
- Actualidad
Son muchos los trabajos que se subcontratan a un proveedor externo en el día a día de una empresa, y en parte de ellas es necesario que éste maneje información de carácter personal. El INCIBE, a través de su blog 'Protege tu empresa', da las claves sobre cómo hacer seguimiento del servicio contratado y cómo finalizar el contrato.
Cuando se externalizan tareas de la empresa a otro proveedor, los expertos de INCIBE recomiendan que se controle el servicio subcontratado durante toda la relación contractual, preferentemente a través de acuerdos de nivel de servicio (SLA, en sus siglas inglesas). Lo dicen en el último post de su blog y explican que “los SLA que se han firmado también deben ser dinámicos para poder adaptarse a las necesidades cambiantes del negocio como los que afectan a su estructura o funcionamiento”.
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
Aquellos servicios en los que la empresa subcontrata tenga que gestionar información de carácter personal, será el delegado de protección de datos el que vele por la seguridad de los datos porque “a efectos legales es responsabilidad de la empresa propietaria y no del proveedor”, recuerda el post.
En estos casos, la transferencia de información entre ambas entidades también es una parte importante y muy sensible dentro del proceso de prestación de servicios, por lo que la recomendación es aplicar medidas de seguridad para mantener la confidencialidad e integridad de las comunicaciones, entre ellas utilizar redes seguras, cifrar la información y limitar el acceso de terceras partes a la información, es decir, que solo acceda a la información necesaria para la prestación del servicio.
La última parte está dedicada a cómo gestionar el fin del contrato. “El acuerdo de confidencialidad firmado es clave en esta fase”, dice el post. En él se definirán las acciones a llevar a cabo cuando termine el servicio y, habitualmente, los acuerdos tienen una vigencia superior a la establecida en la prestación del servicio.
Asimismo, en los acuerdos de confidencialidad se suele especificar que toda la documentación que se ha utilizado sea devuelta a su propietario.
“Cuando el servicio contratado haya gestionado datos de carácter personal, ya sea en formato físico o digital, estos deberán ser devueltos a la empresa o destruidos. Esta cláusula deberá ser estipulada en el acuerdo de confidencialidad que se firmó al comenzar la prestación del servicio”, añade.
Otro aspecto a tener en cuenta es la gestión de los permisos de accesos la información tanto a las ubicaciones físicas como a los sistemas de la empresa.
El post termina incidiendo en https://www.incibe.es/protege-tu-empresa/blog/seguimiento-y-finalizacion-contrato-servicio-subcontratado la relevancia de mantener un seguimiento durante todo el ciclo de vida del contrato.