GDPR para datos externos: bases legales, roles y transferencias | DataSupplier
DataSupplier
Análisis EN · ES Acceder Solicitar presupuesto
Análisis / Cumplimiento y gobernanza

GDPR para datos externos: bases legales, roles y transferencias

DataSupplier·16 min de lectura

Cuando un conjunto de datos externo contiene datos personales, el GDPR le aplica a usted, no solo al proveedor. Hacer bien lo básico en la fase de sourcing evita problemas costosos más adelante. Esta guía explica las bases legales, los roles de responsable y encargado, las transferencias y el papel de la anonimización, en términos prácticos para los compradores de datos.

¿Cuándo se aplica el GDPR?

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) se aplica siempre que usted trata datos personales: cualquier información relativa a una persona identificada o identificable. Gran parte de los datos externos no son personales y quedan fuera. Pero los datos que pueden identificar a alguien, directa o indirectamente —incluidos los que se vuelven identificativos al combinarse con otros conjuntos—, están dentro del ámbito. La primera pregunta del sourcing es, por tanto, simple: ¿este conjunto de datos contiene o permite la identificación de personas?

Base legal

Tratar datos personales requiere una base legal. Para los datos externos, las más relevantes suelen ser el interés legítimo (sujeto a una prueba de ponderación) y, con menos frecuencia, el consentimiento o el contrato. La base debe identificarse antes del tratamiento y documentarse. Es crucial entender que la base del proveedor para recopilar los datos no cubre automáticamente su base para usarlos; usted necesita la suya propia.

Roles de responsable y encargado

El GDPR asigna la responsabilidad según quién determina los fines y los medios del tratamiento. Un comprador que decide por qué y cómo se usan los datos es típicamente un responsable del tratamiento; una parte que trata siguiendo las instrucciones del comprador es un encargado del tratamiento. Los acuerdos de sourcing deben hacer explícitos estos roles, porque determinan las obligaciones, desde los contratos hasta la notificación de brechas. Cuando dos partes determinan conjuntamente los fines, pueden aplicarse acuerdos de corresponsabilidad.

Datos de categorías especiales y sensibles

Algunos datos (salud, biométricos, origen étnico y similares) son datos de categorías especiales con condiciones más estrictas. Otros contextos (datos de menores, ubicación, financieros) conllevan expectativas más altas. Localizar tales datos exige un escrutinio adicional de la base, las salvaguardas y, con frecuencia, una evaluación de impacto de protección de datos.

Transferencias internacionales

Si los datos personales salen del Reino Unido o del EEE, se aplican las normas de transferencia. Las vías legales incluyen decisiones de adecuación, cláusulas contractuales tipo (CCT) y otras garantías. Localizar datos con presencia global implica confirmar de dónde proceden, dónde se tratan y qué mecanismo de transferencia se aplica.

Anonimización y seudonimización

Una anonimización efectiva saca los datos del ámbito del GDPR, porque las personas ya no pueden identificarse, pero el listón es alto, y una anonimización débil y reversible no cumple. La seudonimización reduce el riesgo pero sigue siendo dato personal. La agregación y los datos sintéticos son herramientas adicionales. Elegir la técnica adecuada, y evidenciarla, suele ser la diferencia entre un conjunto de datos utilizable y uno inutilizable.

La documentación que necesitan los compradores

Para el trabajo regulado y basado en licitaciones, el sourcing debe producir un registro claro: la base legal, los roles, la procedencia de los datos, los términos de licencia, cualquier mecanismo de transferencia y el tratamiento de privacidad aplicado. Esta es precisamente la documentación que un proceso de suministro gestionado bien llevado recoge de forma estándar.

Interés legítimo: realizar la prueba de ponderación

El interés legítimo es la base legal más común para los datos externos, pero no es un pase libre: requiere una evaluación documentada en tres partes. Primero, la prueba de finalidad: ¿hay un interés real y específico (por ejemplo, prevención del fraude o análisis de mercado)? Segundo, la prueba de necesidad: ¿es realmente necesario tratar estos datos para esa finalidad, o bastaría con menos? Tercero, la prueba de ponderación: ¿prevalecen los derechos y expectativas razonables de las personas sobre su interés? Los datos adquiridos a terceros son delicados aquí, porque a menudo las personas no se los proporcionaron a usted y pueden no esperar su uso. Registrar esta evaluación de interés legítimo forma parte de la responsabilidad proactiva.

Responsable, encargado y corresponsable en la práctica

Los roles no son etiquetas que se eligen por conveniencia; se derivan de los hechos sobre quién decide los fines y los medios. Algunos patrones prácticos: si compra un conjunto de datos y decide cómo usarlo, es un responsable; si un proveedor enriquece sus datos estrictamente siguiendo sus instrucciones, suele ser su encargado y necesita un acuerdo de tratamiento de datos; si usted y un socio diseñan conjuntamente un uso compartido, pueden ser corresponsables y deben acordar cómo reparten las responsabilidades. Cuando un proveedor vende el mismo conjunto de datos a muchos compradores bajo sus propios términos, suele ser un responsable independiente, y se aplica un acuerdo de responsable a responsable.

Una lista de comprobación de cumplimiento en el sourcing

Antes de adquirir un conjunto de datos que pueda contener datos personales, confirme:

  • Si los datos son personales, seudónimos o genuinamente anónimos, y con qué evidencia.
  • Su propia base legal, documentada, no heredada del proveedor.
  • Los roles de responsable/encargado, con el contrato adecuado en vigor.
  • Si hay datos de categorías especiales y se aplica una condición adicional.
  • Cualquier transferencia internacional y su mecanismo.
  • La procedencia: cómo recopiló el proveedor los datos legalmente y puede licenciárselos.
  • Si se requiere una EIPD, y los términos de conservación y eliminación.

Dónde se equivocan con más frecuencia los compradores

Los errores recurrentes son predecibles: suponer que «disponible públicamente» significa libre de obligaciones (no lo es); tratar los datos seudonimizados como anónimos; apoyarse en la base legal del proveedor en lugar de establecer la propia; y descubrir una transferencia internacional solo tras el despliegue. Cada uno es evitable aplicando la lista anterior en el sourcing y no después.

Puntos clave
  • Si un conjunto de datos puede identificar a personas, el GDPR se aplica a su uso de él.
  • Necesita su propia base legal; la del proveedor no se le transfiere.
  • Haga explícitos los roles de responsable/encargado en los acuerdos de sourcing.
  • Una anonimización robusta saca los datos del ámbito; los datos seudonimizados permanecen dentro.

Este artículo es información general, no asesoramiento jurídico. Confirme las obligaciones para su situación con asesores cualificados.

Fuentes y lecturas adicionales

  • EUR-Lex, Reglamento (UE) 2016/679 (GDPR).
  • Comité Europeo de Protección de Datos (CEPD), directrices sobre anonimización y transferencias internacionales.
  • Comisión Europea, cláusulas contractuales tipo para transferencias internacionales de datos.
  • Comisión Europea, el Reglamento de Datos (Reglamento (UE) 2023/2854).
¿Localizando datos que contienen información personal?

Damos soporte a la anonimización, la seudonimización y la agregación, con documentación de procedencia y licencias diseñada para dar soporte a los requisitos del GDPR. Obtenga un presupuesto sin compromiso.

Solicitar presupuesto Reservar una llamada de 30 minutos
Relacionado
El Reglamento de Datos de la UE explicado para compradores de datos → Datos sintéticos: empiece a desarrollar antes de que los datos de producción estén listos →