Supervisión de Proveedores de Datos: La Culpa es Tuya, No de Ellos
La Gran Revelación: La Responsabilidad No se Delega
Existe una fantasía muy popular en el mundo empresarial: la tercerización como acto de purificación. Se contrata a un proveedor para manejar la liquidación de sueldos, una campaña de marketing o el hosting de la base de clientes, y se asume que, junto con los gigabytes de información, se ha transferido también el pesado bulto de la responsabilidad legal. Es una idea atractiva, casi poética. Y completamente falsa.
La Ley 25.326, en su afán por arruinar ficciones convenientes, establece una distinción cristalina entre dos roles: el Responsable del Tratamiento y el Encargado del Tratamiento. El primero es la empresa, la organización, la entidad que recolecta los datos y decide el ‘qué’ y el ‘para qué’ de su uso. Es el dueño de la base de datos, el que tiene la relación directa con el titular del dato (esa persona de carne y hueso que confió su información). El segundo, el Encargado, es el proveedor. Un mero ejecutor. Un brazo extendido del Responsable que opera sobre los datos siguiendo instrucciones precisas y explícitas.
Pensarlo de otra manera es un ejercicio de autoengaño. Cuando una empresa le entrega datos a un proveedor, no le está diciendo ‘tomá, hacé lo que te parezca’. Le está dando un mandato específico. La ley presume, con una lógica aplastante, que si vos das la orden, vos tenés que vigilar que se cumpla bien. Culpar exclusivamente al proveedor por un desastre es como culpar al martillo por un cuadro torcido. Alguien, después de todo, sostenía el martillo.
La normativa es clara: la cesión de datos a un encargado del tratamiento no requiere el consentimiento del titular del dato, siempre y cuando se haga bajo un contrato que establezca que el encargado actuará únicamente siguiendo las instrucciones del responsable y que implementará las mismas o superiores medidas de seguridad. Este ‘siempre y cuando’ no es un detalle decorativo; es el eje sobre el cual pivota toda la estructura de responsabilidad. Ignorarlo no es una estrategia, es una negligencia.
El Contrato: Ese Documento que Nadie Lee
Ah, el contrato de servicios. Ese documento que el departamento de legales aprueba con la misma atención que la lista del supermercado y que el proveedor firma sin chistar porque es un template bajado de internet. En el universo de la protección de datos, ese papel es tu primera, y a veces única, línea de defensa. O tu soga al cuello.
Según el artículo 25 de nuestra ley, este contrato no es opcional y no puede ser un acuerdo de voluntades etéreo. Debe ser un instrumento legal que, por escrito, ate al proveedor a una serie de obligaciones ineludibles. Primero, debe constar explícitamente que el encargado solo tratará los datos conforme a las instrucciones del responsable. Esto significa que no tiene autonomía para usar la información para fines propios, ni para experimentar, ni para ‘agregar valor’ con servicios no solicitados.
Segundo, y crucial, debe obligar al proveedor a implementar medidas de seguridad técnica y organizativa para proteger los datos. Y no vale con poner ‘implementará medidas de seguridad adecuadas’. Eso no significa nada. Un contrato serio y bien hecho detalla qué medidas: cifrado de datos en tránsito y en reposo, controles de acceso lógicos, política de contraseñas robustas, doble factor de autenticación, plan de respuesta a incidentes, etc. Cuanto más específico, mejor. Demuestra que no solo pediste seguridad, sino que te preocupaste por definirla.
Además, el contrato debe imponer un deber de confidencialidad sobre todo el personal del proveedor que acceda a los datos y establecer qué ocurrirá con la información una vez finalizado el servicio: si será devuelta, destruida de forma segura, o ambas. Y, por supuesto, debe permitir que el responsable realice auditorías y controles para verificar el cumplimiento de todo lo anterior. Si tu contrato no te permite ir a golpear la puerta del proveedor y preguntarle ‘a ver, mostrame cómo estás cuidando mi pila de datos’, entonces ese contrato no te sirve de mucho.
Desde el Sillón del Acusado: ‘Yo No Fui’
Imaginemos la escena. La Agencia de Acceso a la Información Pública (AAIP) te notifica de una denuncia. Un lote de datos de tus clientes anda circulando por la web oscura y todo apunta a una brecha en el sistema de tu proveedor de email marketing. Tu primer instinto, tan humano como inútil, es redactar un descargo que básicamente dice: ‘Holis, fue el proveedor. Hablen con ellos. Saludos’.
Mala idea. Ante la ley, esa respuesta equivale a confesar. Porque la pregunta no es ‘¿quién apretó el botón incorrecto?’, sino ‘¿qué hiciste vos, como Responsable, para evitar que esto pasara?’. La defensa no es apuntar con el dedo, es demostrar diligencia debida. Es sacar a relucir ese contrato blindado del que hablábamos. Es mostrar los correos, las actas de reunión y los informes de seguimiento donde supervisabas activamente a tu proveedor. Es presentar el cuestionario de seguridad que le hiciste completar antes de firmar, donde juraba y perjuraba que tenía todo bajo control.
El objetivo es construir un relato verosímil que diga: ‘Yo cumplí con mi deber de vigilancia. Elegí un proveedor que aparentaba ser idóneo, le impuse por contrato las más altas exigencias de seguridad, monitoreé su cumplimiento y, a pesar de todo, falló’. Esto no te exime automáticamente de responsabilidad, porque la ley contempla una responsabilidad objetiva en muchos casos, pero ciertamente atenúa la sanción y te posiciona mucho mejor en un eventual reclamo civil por daños y perjuicios. La indiferencia y la sorpresa post-incidente, en cambio, son agravantes. Demostrar que te enteraste del problema por los diarios es la peor estrategia posible.
La defensa, entonces, no es un acto de negación, sino de afirmación. Afirmar que uno se tomó la protección de datos en serio desde el primer día. Cualquier otra cosa es, simplemente, esperar una sanción que, con toda justicia, te merecés.
Manual para el Acusador: Cómo Apuntar con Precisión
Ahora, cambiemos de vereda. Sos el titular del dato. Tu DNI, email y fecha de nacimiento están a la venta por un par de dólares gracias a la negligencia de… ¿quién? ¿La empresa ‘A’ a la que le diste tus datos para comprar un producto, o la ignota empresa ‘B’ de la que nunca oíste hablar pero que ‘A’ contrató para hostear su base de datos?
La tentación puede ser buscar al culpable técnico, a la empresa ‘B’. Pero es un camino estratégico pobre y legalmente complicado. Tu relación contractual y de confianza es con la empresa ‘A’. Ella te pidió los datos. Ella es el Responsable ante la ley y ante vos. Es a ella a quien tenés que dirigir tu reclamo. ¿Por qué? Por varias razones de un pragmatismo brutal.
Primero, la empresa ‘A’ es la que tiene la obligación legal directa de garantizar tus derechos: acceso, rectificación, supresión. Es la cara visible y la que debe responder. Segundo, es mucho más fácil de identificar y notificar. Rastrear al proveedor real puede ser una odisea. Tercero, y más importante, la empresa ‘A’ es la que, en última instancia, no puede eludir su responsabilidad. Aunque el error haya sido del proveedor, la falta de supervisión es de la empresa contratante. Es un blanco mucho más grande y estático.
El procedimiento correcto es simple. Primero, intimar fehacientemente a la empresa ‘A’ (el Responsable), exigiendo explicaciones sobre la brecha de seguridad y las medidas tomadas. Si la respuesta es insatisfactoria, evasiva o inexistente, el siguiente paso es presentar una denuncia formal ante la Agencia de Acceso a la Información Pública (AAIP). Este es el organismo de control que puede investigar, determinar responsabilidades e imponer sanciones que van desde un apercibimiento hasta multas significativas y la clausura de la base de datos.
Apuntar al Responsable no solo es lo correcto legalmente, sino lo más efectivo. Obliga a la empresa que se beneficia de tus datos a hacerse cargo de los riesgos que genera su tratamiento. Forzar esta rendición de cuentas es, en definitiva, la única manera de que empiecen a tomarse en serio la elección y supervisión de sus proveedores. Porque, como hemos visto, la sorpresa y la indignación post-desastre no cotizan en el tribunal de la ley de datos.
