En las operaciones modernas de nube y SaaS, muchos proveedores, incluido Talkdesk, dependen de subencargados para llevar a cabo partes de su servicio (alojamiento, análisis, asistencia, integraciones, etc.). El uso de subencargados plantea desafíos legales, contractuales y operativos esenciales, especialmente cuando se trata con jurisdicciones reguladas (como la Unión Europea con el Reglamento General de Protección de Datos (RGPD)) o los EE. UU. (con FedRamp).
¿Qué es un subencargado y por qué es importante?
Un subencargado es un tercero contratado por un encargado del tratamiento (en este caso, Talkdesk) para realizar actividades de procesamiento en nombre del procesador, actuando bajo las instrucciones del controlador. En los marcos típicos de protección de datos:
- El responsable del tratamiento de datos (el cliente de Talkdesk) delega el procesamiento a un encargado (Talkdesk).
- El encargado (Talkdesk) puede delegar tareas adicionales a los subencargados.
- El encargado sigue siendo responsable de garantizar que los subencargados cumplan con las mismas obligaciones de protección de datos que le corresponden al encargado.
Protección de datos y obligaciones del subencargado en virtud del Reglamento General de Protección de Datos (RGPD)
Dado que el Reglamento General de Protección de Datos (RGPD) es uno de los regímenes más estrictos a nivel mundial, gran parte de la lógica de gestión del subencargado debe cumplir con él (o con normas equivalentes en otras jurisdicciones). Algunas de las obligaciones clave:
- Contratos por escrito / Acuerdos de procesamiento de datos (DPA) con los subencargados.
- Aprobación y notificación a los responsables del tratamiento de los cambios en la lista de subencargados.
- Responsabilidad y rendición de cuentas.
- Medidas técnicas y organizativas.
- Derechos de los titulares de los datos y asistencia.
- Transferencias internacionales / transferencias posteriores.
- Notificación de incumplimiento y derechos de auditoría.
Mecanismos de transferencia y movimiento transfronterizo de datos
Dado que Talkdesk es una multinacional con sede en EE. UU. y muchos de sus sistemas y servicios operan a nivel mundial, las transferencias transfronterizas de datos personales plantean un desafío crítico.
De forma predeterminada, los datos se procesan y almacenan en EE. UU. Aun así, los clientes pueden optar por alojar en otras regiones (Europa, Reino Unido y Canadá) dependiendo de sus requisitos de privacidad.
Las transferencias entre países del EEE o aquellos reconocidos como adecuados por el CEPD (Comité Europeo de Protección de Datos) se basan en decisiones de adecuación.
En cuanto a los terceros países, Talkdesk se basa en las Cláusulas Contractuales Tipo (CCT) según los contratos modelo de la CE.
Gestión de riesgos y diligencia debida con terceros
La gestión efectiva de riesgo del subencargado es fundamental para mantener el cumplimiento, la seguridad y la confianza. Algunas prácticas clave que Talkdesk sigue para la gestión de riesgos con terceros/subencargados:
1. Diligencia debida antes del compromiso, que incluye consultas sobre seguridad y privacidad, evaluación del cumplimiento legal, verificación de referencias y disposiciones contractuales y de antecedentes.
2. Contratos y compromisos vinculantes, que incluyen cláusulas que reflejan las obligaciones del encargado (confidencialidad, seguridad, auditorías, asistencia con los derechos de los titulares de los datos, eliminación/devolución de datos), utiliza términos estándar (por ejemplo, CCT) si se realizan transferencias transfronterizas y una cláusula para la cooperación en la notificación de incumplimientos y las investigaciones de la causa raíz, derechos de terminación y asistencia en la migración en caso de incumplimiento por parte de un subencargado o incapacidad para realizarlo.
3. Supervisión y auditorías continuas, incluidas auditorías/evaluaciones de seguridad, supervisión del rendimiento y el cumplimiento, renovación de certificaciones y supervisión de incorporaciones y salidas.
4. Gestión y notificación de cambios, mantener listas transparentes y actualizadas de subencargados y notificar a los responsables del tratamiento de los cambios de subencargados, con derecho a oponerse a los nuevos.
5. Gestión y corrección de incidentes, la obligación de avisar al encargado y al responsable del tratamiento de inmediato en caso de cualquier incidente. Investigación colaborativa, análisis de la causa raíz, corrección e informes a los responsables del tratamiento y (si es necesario) a las autoridades supervisoras y responsabilidad mediante sanciones contractuales o indemnizaciones.
6. Planificación de salida, mecanismos de salida definidos como asistencia de migración, devolución de datos o eliminación.
Para obtener más información o aclaraciones, puede ponerse en contacto con nuestro equipo de privacidad en privacy@talkdesk.com