← Blog/Ciberseguridad

RGPD y Residencia de Datos: Qué Deben Verificar los Compradores de SaaS Empresarial Antes de Firmar

Equipo de Investigación VOLTORS3 de mayo de 20266 min de lectura

Que un proveedor diga "cumplimos con el RGPD" no es lo mismo que decirle dónde viven físicamente sus datos, qué subencargados los tocan y bajo qué mecanismo legal cruzan fronteras.

Por qué la residencia de datos ya no es opcional

Que un proveedor de SaaS le diga "cumplimos con el RGPD" no es lo mismo que decirle dónde viven físicamente sus datos, qué subencargados los tocan y bajo qué mecanismo legal cruzan fronteras. Para cualquier comprador empresarial que atienda clientes de la UE o emplee personal en la UE, la residencia y los mecanismos de transferencia son ahora temas de debida diligencia, no casillas de marketing — reguladores y clientes empresariales por igual están haciendo la pregunta específica, no la general.

La pregunta de los subencargados

Toda plataforma SaaS depende de subencargados del tratamiento: hosting en la nube, entrega de correo, analítica, procesamiento de pagos. Bajo el RGPD, el responsable del tratamiento (su empresa) sigue siendo responsable de cómo esos subencargados manejan los datos personales, aunque usted no los haya elegido directamente. Antes de firmar, solicite la lista actual de subencargados del proveedor, confirme que se mantiene actualizada con notificación previa de cambios, y verifique que cada uno cuente con su propio mecanismo de transferencia adecuado.

Cláusulas Contractuales Tipo tras el fallo Schrems II

Desde que el fallo Schrems II invalidó el Privacy Shield UE-EE.UU., las Cláusulas Contractuales Tipo (SCC) combinadas con una Evaluación de Impacto de Transferencia documentada son el mecanismo práctico para la mayoría de las transferencias transfronterizas. Un proveedor que no pueda presentar un paquete de SCC vigente y una evaluación de impacto cuando se le solicite no está listo para negocios empresariales con la UE, sin importar lo que diga su página de marketing.

Qué preguntar antes de firmar

  • Solicite por escrito la lista de subencargados y el proceso de notificación de actualizaciones
  • Pregunte en qué regiones se almacenan y respaldan los datos, no solo dónde se "procesan"
  • Solicite los plazos de retención y eliminación de datos en el DPA, no en la política de privacidad — el DPA es el documento vinculante
  • Pregunte qué sucede con sus datos al terminar el contrato — un plazo de eliminación específico, por escrito, es el estándar que debe exigir a cualquier proveedor