Si externalizas servicios y el subencargado incumple con la seguridad
Externalizar no te exime de responsabilidad: si un subencargado incumple con la seguridad, el responsable del tratamiento sigue obligado a actuar. Lo primero es contener el incidente, recopilar evidencias y ejecutar las obligaciones contractuales frente al encargado. Revisa contratos y cláusulas de subcontratación, obliga a la reparación y, si procede, notifica a las personas afectadas y a la autoridad de control siguiendo los criterios legales aplicables.
¿Necesitas abogados de protección de datos y privacidad?
Compara abogados especializados y elige con calma. Análisis de tu caso gratuito.
Ver abogados Sin compromiso · GratisAbogados especializados en este caso
¿Tienes razón?
La cuestión clave es quién controla las decisiones sobre el tratamiento y si las obligaciones contractuales y técnicas estaban claras y se han incumplido. Si tú eres responsable del tratamiento (por ejemplo, decides los fines y medios), la ley te exige garantizar la seguridad aunque ejecutes tareas a través de encargados o subencargados. Si el subencargado ha fallado, esto no te exime de responsabilidad ante las personas afectadas ni ante la autoridad; sin embargo, el contrato y las garantías que hayas firmado con el encargado y el subencargado determinan quién debe responder económicamente o reparar el daño.
Importa también la diligencia que demostraste: seleccionaste al proveedor con criterios razonables, le exigiste garantías y lo supervisaste periódicamente. Si hay cláusulas contractuales que prohibían subencargamientos sin autorización y el encargado subcontrató sin permiso, eso fortalece tu reclamación contra el encargado y el subencargado.
La naturaleza del incumplimiento importa: un acceso no autorizado por un tercero, una filtración por configuración errónea, o la pérdida física de soportes cada uno tiene matices distintos en responsabilidad y medidas a tomar.
Cómo se soluciona
1) Contención inmediata. Aísla sistemas afectados, corta accesos comprometidos y cambia credenciales. Conserva logs y copias forenses antes de alterar nada.
2) Reúne prueba y documenta. Registra qué ocurrió, cuándo, quién tenía acceso y qué datos se vieron afectados. Reúne contratos, cláusulas de subcontratación, informes de auditoría previas y cualquier correo que pruebe instrucciones o advertencias.
3) Ejecuta el contrato con el encargado. Exige que cumpla las garantías: que investigue, repare y reponga medidas de seguridad. Si el encargado negó la existencia de subcontratación no autorizada y se demuestra lo contrario, tienes una causa contractual de reclamación.
4) Notificación a afectados y autoridad. Si la vulneración implica riesgos reales para derechos y libertades, valora la notificación a la autoridad y a las personas afectadas, explicando hechos y medidas adoptadas. Sigue el criterio legal sobre notificaciones necesarias.
5) Reclamación al encargado y subencargado. Pide responsabilidades contractuales y de indemnización por daños reputacionales o económicos. Conserva todas las pruebas y comunicaciones.
6) Fortalece controles y revisa contratos. Refuerza cláusulas que obliguen a autorización previa de subcontrataciones, derechos de auditoría y requisitos técnicos concretos.
Qué puedes hacer solo: contener el incidente, recopilar logs y pruebas y contactar al encargado para exigir actuaciones. Cuándo necesitas ayuda: para peritajes forenses, coordinación legal con múltiples jurisdicciones o cuando haya implicación de datos sensibles o reclamaciones colectivas.
Qué puede pasar
1) Se arregla con actuación del encargado: a menudo el encargado asume la investigación, mejora controles y ofrece medidas de reparación; así se evita escalada y reputación negativa.
2) Acuerdo o conciliación con afectados: puedes negociar compensaciones o remedios con las personas afectadas; aceptar un acuerdo puede ser preferible a litigios largos y costosos.
3) Investigación y sanción por la autoridad: si la autoridad entiende que hubo falta de diligencia, puede imponer medidas correctoras y sanciones. En lo civil, los afectados pueden reclamar daños. Si pierdes en los tribunales, podrás reclamar posteriormente al encargado o subencargado, pero la ejecución práctica dependerá de su solvencia.
Y si ganas, ¿cobras? Una sentencia contra el subencargado solo tiene efecto si es ejecutable; a veces la vía contractual contra el encargado es más eficaz si este tiene mejores garantías financieras.
Errores que arruinan el caso
- No conservar logs ni pruebas forenses antes de intervenir: borrar registros dificulta demostrar el alcance.
- Firmar contratos vagos sin cláusulas de subcontratación, auditoría y sanciones.
- No supervisar periódicamente al proveedor: la ausencia de auditorías internas te deja sin defensa.
- Comunicar mal a los afectados (o no hacerlo) y generar desconfianza y reclamaciones en masa.
- Aceptar explicaciones verbales sin documentación escrita y firmada.
¿Necesitas un abogado para esto?
Puedes gestionar la contención técnica inicial y exigir actuaciones al encargado por escrito; muchas empresas gestionan esa fase sin abogado. Necesitarás un abogado si hay reclamaciones de afectados, una investigación de la autoridad o si el incidente implica datos especialmente protegidos. Un abogado te asistirá en la negociación contractual, en la reclamación de responsabilidades y en la gestión de comunicación para reducir riesgo reputacional. Revisa también la posibilidad de asistencia por justicia gratuita si procede.
Casos relacionados
Otros problemas frecuentes en abogados de protección de datos y privacidad
Preguntas frecuentes sobre este caso
El responsable del tratamiento mantiene obligaciones frente a la autoridad y a las personas afectadas; sin embargo, contractual y prácticamente puedes reclamar responsabilidades al encargado y al subencargado. La autoridad valora la cadena de control y las medidas tomadas por el responsable.
Depende del contrato y de la gravedad del incumplimiento. Revisa cláusulas de resolución por incumplimiento y prueba documental de los fallos. Antes de romper la relación, documenta las reclamaciones y exige medidas correctoras.
Las auditorías periódicas ayudan a demostrar diligencia, pero no te eximen automáticamente si hubo negligencia posterior. Es importante que las auditorías sean completas y que sus recomendaciones se apliquen.
La decisión depende del riesgo que la brecha entrañe para los derechos y libertades de las personas. Si el riesgo es significativo, lo prudente es notificar a los afectados y a la autoridad explicando hechos y medidas adoptadas.
Puedes reclamar, pero la recuperación práctica depende de la solvencia del subencargado. Por eso es importante que el encargado aporte garantías contractuales y que revises la solvencia del proveedor antes de contratar.
¿Necesitas resolver este problema legal?
Te conectamos con los mejores abogados especializados. Consulta gratuita y sin compromiso.