legaltica

Si externalizas servicios y el subencargado incumple con la seguridad

Externalizar no te exime de responsabilidad: si un subencargado incumple con la seguridad, el responsable del tratamiento sigue obligado a actuar. Lo primero es contener el incidente, recopilar evidencias y ejecutar las obligaciones contractuales frente al encargado. Revisa contratos y cláusulas de subcontratación, obliga a la reparación y, si procede, notifica a las personas afectadas y a la autoridad de control siguiendo los criterios legales aplicables.

114 abogados de protección de datos y privacidad disponibles para este caso

¿Necesitas abogados de protección de datos y privacidad?

Compara abogados especializados y elige con calma. Análisis de tu caso gratuito.

Ver abogados Sin compromiso · Gratis

Abogados especializados en este caso

EDM Legal — Vigo
★ 5,0 (112) Protección de Datos y… EDM Legal es un despacho de abogados multidisciplinar con presencia en Vigo, A Coruña y Madrid. Su objetivo es ofrecer asesoramiento jurídico íntegro a … Vigo
Cerrado ahora
LOPVEL Abogado — Orihuela
★ 5,0 (48) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Orihuela
Cerrado ahora
ALCALDE & ASOCIADOS — L'Arboç
★ 5,0 (31) Protección de Datos y… ALCALDE & ASOCIADOS es un despacho boutique multidisciplinar que integra derecho laboral, civil y extranjería con asesoría estratégica para empresas y profesionales. Fomenta sinergias … L'Arboç
Cerrado ahora
LOPVEL Abogado — Villarrobledo
★ 4,9 (111) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Villarrobledo
Cerrado ahora
EDM Legal — Madrid
★ 4,9 (91) Protección de Datos y… EDM Legal es un despacho de abogados multidisciplinar con presencia en Vigo, A Coruña y Madrid. Su objetivo es ofrecer asesoramiento jurídico íntegro a … Madrid Capital
Cerrado ahora
Legalia — Córdoba
★ 4,9 (38) Protección de Datos y… Legalia es un despacho de abogados con sede en Córdoba, enfocado en soluciones jurídicas y fiscales para personas y empresas. Se presenta como un … Córdoba Capital
Cerrado ahora
Roselló Mallol — Barcelona
★ 5,0 (59) Protección de Datos y… Roselló Mallol es un despacho de abogados especializado en protección de datos y derecho digital, con sede en Barcelona y Andorra la Vella. Con … Barcelona Capital
Cerrado ahora
ARL Abogados — Ourense
★ 4,9 (202) Protección de Datos y… ARL Abogados es un despacho de abogados con sede en Ourense, fundado en 2010 por un grupo de colegiados con más de 30 años … Ourense Capital
Cerrado ahora
Gran Vía Abogados Digitales — Murcia
★ 5,0 (70) Protección de Datos y… Gran Vía Abogados Digitales es un despacho especializado en derecho digital y nuevas tecnologías, con más de veinte años de experiencia ayudando a navegar … Murcia Capital
Cerrado ahora
Abogados DOS HERMANAS — Dos Hermanas
★ 4,9 (307) Protección de Datos y… Abogados DOS HERMANAS es un despacho de abogados con sedes en Dos Hermanas y Sevilla, que ofrece servicios en Derecho Civil, Derecho de Familia, … Dos Hermanas
Cerrado ahora
Audens — Madrid
★ 4,8 (27) Protección de Datos y… Audens Abogados es un despacho de abogados con sede en Madrid y Bilbao que ofrece un enfoque práctico y cercano. En Madrid, su oficina … Madrid Capital
Cerrado ahora
LOPVEL Abogado — Calafell
★ 4,8 (27) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Calafell
Cerrado ahora
LOPVEL Abogado — Valencia
★ 4,8 (23) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Valencia Capital
Cerrado ahora
Gállego & Buílla Abogados — Vigo
★ 4,7 (26) Protección de Datos y… En Gallego & Buílla trabajamos para que sienta que tiene a alguien de su lado desde el primer momento. Somos un despacho de abogados … Vigo
Consultar horario
Albos Law — Barcelona
★ 5,0 (100) Protección de Datos y… ALBOS LAW es una firma especialista en derecho civil, que presta asesoramiento en responsabilidad civil, derecho bancario, derecho inmobiliario, derecho de empresa y protección … Barcelona Capital
Cerrado ahora
J. Nogareda Abogados — Santiago de Compostela
★ 5,0 (18) Protección de Datos y… J. Nogareda Abogados es un despacho de abogados con sede en Santiago de Compostela, reconocido por su enfoque integral y personalizado para garantizar los … Santiago de Compostela
Cerrado ahora
LOPVEL Abogado — Málaga
★ 5,0 (17) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Málaga Capital
Cerrado ahora
Assemp Bcn Asesoría / Gestoría Empresarial S L — Terrassa
★ 4,7 (65) Protección de Datos y… Assemp Bcn es un despacho boutique multidisciplinar fundado en 1989 en Terrassa, especializado en ofrecer servicios de asesoramiento y gestión integral para empresas, combinando … Terrassa
Cerrado ahora
LOPVEL Abogado — Mataró
★ 5,0 (22) Protección de Datos y… LOPVEL Abogado es un despacho boutique unipersonal en Madrid, dirigido por Ignacio López Velázquez, abogado colegiado en Madrid, especializado en Derecho de Familia y … Mataró
Consultar horario
Carlos Ponce de León Caballero — Santa Maria de Palautordera
★ 5,0 (22) Protección de Datos y… Carlos Ponce de León Caballero dirige un despacho moderno y orientado a soluciones jurídicas de calidad en Santa María de Palautordera, con enfoque en … Santa Maria de Palautordera
Cerrado ahora

¿Tienes razón?

La cuestión clave es quién controla las decisiones sobre el tratamiento y si las obligaciones contractuales y técnicas estaban claras y se han incumplido. Si tú eres responsable del tratamiento (por ejemplo, decides los fines y medios), la ley te exige garantizar la seguridad aunque ejecutes tareas a través de encargados o subencargados. Si el subencargado ha fallado, esto no te exime de responsabilidad ante las personas afectadas ni ante la autoridad; sin embargo, el contrato y las garantías que hayas firmado con el encargado y el subencargado determinan quién debe responder económicamente o reparar el daño.

Importa también la diligencia que demostraste: seleccionaste al proveedor con criterios razonables, le exigiste garantías y lo supervisaste periódicamente. Si hay cláusulas contractuales que prohibían subencargamientos sin autorización y el encargado subcontrató sin permiso, eso fortalece tu reclamación contra el encargado y el subencargado.

La naturaleza del incumplimiento importa: un acceso no autorizado por un tercero, una filtración por configuración errónea, o la pérdida física de soportes cada uno tiene matices distintos en responsabilidad y medidas a tomar.

Cómo se soluciona

1) Contención inmediata. Aísla sistemas afectados, corta accesos comprometidos y cambia credenciales. Conserva logs y copias forenses antes de alterar nada.

2) Reúne prueba y documenta. Registra qué ocurrió, cuándo, quién tenía acceso y qué datos se vieron afectados. Reúne contratos, cláusulas de subcontratación, informes de auditoría previas y cualquier correo que pruebe instrucciones o advertencias.

3) Ejecuta el contrato con el encargado. Exige que cumpla las garantías: que investigue, repare y reponga medidas de seguridad. Si el encargado negó la existencia de subcontratación no autorizada y se demuestra lo contrario, tienes una causa contractual de reclamación.

4) Notificación a afectados y autoridad. Si la vulneración implica riesgos reales para derechos y libertades, valora la notificación a la autoridad y a las personas afectadas, explicando hechos y medidas adoptadas. Sigue el criterio legal sobre notificaciones necesarias.

5) Reclamación al encargado y subencargado. Pide responsabilidades contractuales y de indemnización por daños reputacionales o económicos. Conserva todas las pruebas y comunicaciones.

6) Fortalece controles y revisa contratos. Refuerza cláusulas que obliguen a autorización previa de subcontrataciones, derechos de auditoría y requisitos técnicos concretos.

Qué puedes hacer solo: contener el incidente, recopilar logs y pruebas y contactar al encargado para exigir actuaciones. Cuándo necesitas ayuda: para peritajes forenses, coordinación legal con múltiples jurisdicciones o cuando haya implicación de datos sensibles o reclamaciones colectivas.

Qué puede pasar

1) Se arregla con actuación del encargado: a menudo el encargado asume la investigación, mejora controles y ofrece medidas de reparación; así se evita escalada y reputación negativa.

2) Acuerdo o conciliación con afectados: puedes negociar compensaciones o remedios con las personas afectadas; aceptar un acuerdo puede ser preferible a litigios largos y costosos.

3) Investigación y sanción por la autoridad: si la autoridad entiende que hubo falta de diligencia, puede imponer medidas correctoras y sanciones. En lo civil, los afectados pueden reclamar daños. Si pierdes en los tribunales, podrás reclamar posteriormente al encargado o subencargado, pero la ejecución práctica dependerá de su solvencia.

Y si ganas, ¿cobras? Una sentencia contra el subencargado solo tiene efecto si es ejecutable; a veces la vía contractual contra el encargado es más eficaz si este tiene mejores garantías financieras.

Errores que arruinan el caso

  • No conservar logs ni pruebas forenses antes de intervenir: borrar registros dificulta demostrar el alcance.
  • Firmar contratos vagos sin cláusulas de subcontratación, auditoría y sanciones.
  • No supervisar periódicamente al proveedor: la ausencia de auditorías internas te deja sin defensa.
  • Comunicar mal a los afectados (o no hacerlo) y generar desconfianza y reclamaciones en masa.
  • Aceptar explicaciones verbales sin documentación escrita y firmada.

¿Necesitas un abogado para esto?

Puedes gestionar la contención técnica inicial y exigir actuaciones al encargado por escrito; muchas empresas gestionan esa fase sin abogado. Necesitarás un abogado si hay reclamaciones de afectados, una investigación de la autoridad o si el incidente implica datos especialmente protegidos. Un abogado te asistirá en la negociación contractual, en la reclamación de responsabilidades y en la gestión de comunicación para reducir riesgo reputacional. Revisa también la posibilidad de asistencia por justicia gratuita si procede.

Casos relacionados

Otros problemas frecuentes en abogados de protección de datos y privacidad

Preguntas frecuentes sobre este caso

El responsable del tratamiento mantiene obligaciones frente a la autoridad y a las personas afectadas; sin embargo, contractual y prácticamente puedes reclamar responsabilidades al encargado y al subencargado. La autoridad valora la cadena de control y las medidas tomadas por el responsable.

Depende del contrato y de la gravedad del incumplimiento. Revisa cláusulas de resolución por incumplimiento y prueba documental de los fallos. Antes de romper la relación, documenta las reclamaciones y exige medidas correctoras.

Las auditorías periódicas ayudan a demostrar diligencia, pero no te eximen automáticamente si hubo negligencia posterior. Es importante que las auditorías sean completas y que sus recomendaciones se apliquen.

La decisión depende del riesgo que la brecha entrañe para los derechos y libertades de las personas. Si el riesgo es significativo, lo prudente es notificar a los afectados y a la autoridad explicando hechos y medidas adoptadas.

Puedes reclamar, pero la recuperación práctica depende de la solvencia del subencargado. Por eso es importante que el encargado aporte garantías contractuales y que revises la solvencia del proveedor antes de contratar.

¿Necesitas resolver este problema legal?

Te conectamos con los mejores abogados especializados. Consulta gratuita y sin compromiso.

Ver abogados