Los agujeros negros del RGPD son obligaciones científicamente imposibles que absorben grandes cantidades de energía, tiempo y recursos a las empresas sin mitigar de forma significativa el nivel de incumplimiento inicial.
Ejemplos que analizaremos:
1. Control de subencargados del tratamiento
2. Conservación y destrucción de los datos
3. Prueba del consentimiento online
El criterio restrictivo existente en la actualidad en la aplicación del interés público previsto en el artículo 9.2.g del RGPD como circunstancia que levanta la prohibición del tratamiento de las categorías especiales de datos relacionadas en el artículo 9.1 del RGPD no tiene en cuenta, en muchas ocasiones, los derechos fundamentales y los bienes jurídicos que se pretenden proteger con el tratamiento.
Existen tres supuestos en los que el juicio de proporcionalidad debe tener en cuenta estos derechos y bienes jurídicos protegidos cuando se tratan categorías especiales de datos:
1. Videovigilancia.
2. Canales de denuncias.
3. Prevención de delitos (Compliance).
En el gráfico que acompaña a este post se pueden ver las normas con rango de ley que sirven como de base para la aplicación del interés público a lo tratamientos de videovigilancia y canales de denuncias.
En el caso de la prevención de delitos debemos remitirnos a la reforma del Código Penal de 2010, en la que se produjo una delegación en las empresas de la labor preventiva y de control asignada al Estado.
Esta función de prevención y control asociada al interés público de prevenir la comisión de delitos está contemplada. de forma directa o indirecta, en los siguientes artículos del Código Penal:
Artículo 31 bis y siguientes del Código Penal, que coloca a la empresa en una posición de responsable y garante con obligaciones de prevención y control asociadas al interés público esencial de prevenir la comisión de delitos.
Artículo 11 del Código Penal que contempla la comisión de un delito por omisión del deber de control, estableciendo una equivalencia entre la omisión del control y la autoría del delito.
El próximo año se cumple el 10º aniversario de la primera versión de la aplicación Compliance 3.0 y hemos querido celebrarlo con el proyecto Mapa de riesgos Ribas 2025.
El objetivo de esta iniciativa es concentrar la gestión de las obligaciones normativas y los riesgos de incumplimiento más relevantes para 2025 en un único mapa de riesgos.
Nuestro propósito a medio y largo plazo es conseguir que la aplicación Compliance 3.0 se convierta en la base de datos de factores de riesgo, casos de uso IA, riesgos y controles más completa para los sectores más relevantes.
Grupos de riesgos
Los grupos de riesgos activos en el mapa de riesgos son los siguientes:
Auditorías de 2025
El mapa de riesgos será la base de las auditorías de IA, protección de datos y compliance a realizar en 2024 y 2025.
Fichas de riesgo resumidas
La suscripción a las fichas de riesgo resumidas permite recibir cada día una ficha de riesgo con el siguiente contenido:
El formato de la ficha de riesgos resumida es el siguiente:
Fichas de riesgo completas
La suscripción a las fichas de riesgo completas permite recibir cada día una ficha de riesgo completa con el siguiente contenido:
Esta suscripción también te da acceso a una plataforma en la que encontrarás todas la fichas completas publicadas.
El formato de la ficha de riesgos completa es el siguiente:
Aplicación Compliance 3.0
La aplicación Compliance 3.0, que en 2025 cumplirá 10 años, permite gestionar los siguientes elementos en una única plataforma:
Tres niveles de suscripción
Los niveles de suscripción al mapa de riesgos 2025 son los siguientes:
Información y contratación
Si deseas recibir más información o contratar el servicio puedes enviar un mensaje a xavier.ribas@ribastic.com.
Origen del proyecto
El análisis de las resoluciones de las autoridades de control relativas a violaciones de la seguridad de los datos se inició en mayo de 2019, al cumplirse el primer año de aplicación efectiva del RGPD. La presentación de las primeras conclusiones del estudio tuvo lugar en un webinar sobre brechas de seguridad que organizó Thomson Reuters en 24 de octubre de 2019.
Objetivos del proyecto
Los objetivos del análisis de las resoluciones son los siguientes:
Referencias a los casos analizados
Las referencias a los casos analizados se limitan al número de expediente, con el fin de evitar cualquier mención a la empresa que ha tenido el incidente de seguridad.
Las valoraciones y los comentarios constituyen únicamente un análisis jurídico y técnico.
No se valora la gestión de la empresa ni de sus responsables.
ACCESO AL PROYECTO GDPR BRECHAS
Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:
https://www.campus-ribas.com/p/brechas-de-seguridad
En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.
También podrás descargar la ficha de cada caso en formato PDF.
En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.
Este mes de agosto, y a pesar de los turnos organizados, hemos tenido que alternar las vacaciones con la gestión de las brechas de seguridad que han sufrido algunos de nuestros clientes.
El crecimiento experimentado en el número de brechas gestionado se debe, principalmente, al incremento del reporte interno de incidentes ocasionados por la pérdida o el robo de ordenadores portátiles y teléfonos móviles que antes no se llegaban a conocer.
La aplicación del RGPD ha obligado a realizar acciones de formación y concienciación, y a establecer la obligación de comunicar internamente cualquier incidente de seguridad, incluida la pérdida y el robo de dispositivos informáticos, por lo que las empresas están recibiendo más información de incidentes que antes no se reportaban.
Teniendo en cuenta que en todas las empresas se pierden o se producen robos de dispositivos móviles, podríamos decir que, en relación a este aspecto, este tipo de incidentes se dividen en dos categorías:
La diferencia entre ambos enfoques puede tener efectos jurídicos y económicos importantes, ya que, ignorar este tipo de incidentes ayuda a tener unas estadísticas saneadas en materia de seguridad, pero impide realizar un tratamiento adecuado de los riesgos asociados y de la actividad preventiva.
En otras palabras, tener pocos incidentes de seguridad no es un indicador de la eficacia de las medidas de seguridad. Es muy probable que sea un indicador del nivel de desconocimiento de los incidentes que se producen en la empresa.
Otra causa importante de brechas de seguridad han sido los ciberataques en general y los ataques de phishing en especial. El perfeccionamiento de las técnicas de suplantación de identidad, los clics realizados sin un mínimo de reflexión previa y la falta de experiencia en la identificación de los mensajes fraudulentos están haciendo que este tipo de ataques sigan triunfando.
Gracias a la aplicación de un protocolo que permite excluir los incidentes que no han generado una violación de la confidencialidad, la integridad y la disponibilidad de los datos, así como los que no han supuesto un riesgo para los derechos y libertades de los afectados, sólo un pequeño porcentaje de los incidentes gestionados se ha tenido que comunicar a la Agencia Española de Protección de Datos.
En cualquier caso, si unimos la experiencia adquirida en la gestión de brechas a la información suministrada por los incidentes de seguridad publicados y las estadísticas y las resoluciones de la AEPD, podemos decir que existe conocimiento suficiente para identificar:
Con este conocimiento hemos diseñado un servicio específico de prevención de brechas de seguridad que se une al protocolo de gestión de incidentes de seguridad que ya incluía nuestra aplicación Compliance 3.0.
Si deseas más información sobre este servicio, puedes enviarme un mensaje a xavier.ribas@ribastic.com
Hemos introducido en el apartado Certificaciones de nuestra aplicación Compliance 3.0 los 263 controles de la nueva ISO 27701.
Esta ISO está específicamente destinada a la seguridad de los datos personales, y se basa directamente en el RGPD y en una ISO anterior.
Por ello, se convierte en el marco de referencia ideal para las medidas de seguridad de la empresa. Aunque no se obtenga la certificación, recomendamos que la política de seguridad de la empresa en materia de datos personales se base en los criterios de esta ISO.
Estas medidas también son válidas para la protección de los secretos empresariales.
Si la empresa ya tiene la ISO 27001, o estaba pensando en obtenerla, esta ISO es un desarrollo de la ISO 27001 y de la ISO 27002, pero específicamente orientada a la seguridad de los datos personales.
También recomendamos exigirla a los proveedores críticos que realizan funciones de encargado del tratamiento. Si hasta ahora la ISO 27001 se trataba en el contrato como una de las garantías previstas en el artículo 32 del RGPD, a partir de ahora esta ISO se puede convertir en la mejor garantía en materia de seguridad de los datos personales.
En el caso de que se produzca una brecha de seguridad, tener esta certificación o acreditar que se ha seguido este marco de referencia puede ser utilizado como evidencia del esfuerzo realizado por la empresa para la prevención de incidentes de seguridad.
Analizar los datos relativos a las brechas de seguridad que se han notificado hasta ahora a la AEPD puede ayudarnos a conocer las causas más habituales de los incidentes de seguridad y a identificar las medidas más eficaces para prevenirlas.
Desde el 25 de mayo de 2018 hasta el 31 de marzo de 2019, los datos publicados por la AEPD indican que el número de notificaciones relativas a brechas de seguridad recibidas por dicha Agencia superan las 800. Este número parece bajo si tienen en cuenta los siguientes escenarios que pueden ser considerados como una brecha de seguridad con violación de la confidencialidad de los datos:
Origen de las notificaciones
De acuerdo con los datos de la AEPD, el número de notificaciones realizadas por organizaciones privadas es muy superior al de las realizadas por organizaciones públicas.
Tipología de las brechas de seguridad
Podemos apreciar que la gran mayoría de las notificaciones se refieren a violaciones de la confidencialidad de los datos, es decir, a incidentes de seguridad que han permitido un acceso no autorizado o una divulgación no autorizada de los datos personales. Ello permite actualizar el mapa de riesgos y optimizar el esfuerzo realizado en medidas de seguridad, confirmando que los riesgos que tienen mayor probabilidad son los relacionados con la confidencialidad de los datos. También permite acumular los esfuerzos realizados en materia de protección de los activos intangibles a las medidas derivadas de la reciente normativa relativa a los secretos empresariales.
Medios de materialización de las brechas de seguridad
Se confirma la sospecha de que el usuario sigue siendo el elemento más débil de la seguridad. Si analizamos los medios de materialización de las brechas de seguridad y agrupamos los que se tienen como origen un descuido, un engaño o cualquier otro escenario en la que la actuación del usuario puede provocar o facilitar la brecha de seguridad, veremos que son la mayoría. Por ello es necesario seguir reforzando la inversión en formación y concienciación. También es importante tener en cuenta que la violación de la confidencialidad puede producirse de manera verbal.
Contexto y nivel de intencionalidad
Se puede comprobar que cuando el origen es interno, los incidentes provienen generalmente de un descuido o de otras causas no intencionadas. Por el contrario, cuando el origen es externo, la mayor parte de los incidentes son intencionados. Entendemos que los incidentes externos no intencionados provienen en su mayoría de los encargados del tratamiento que no han invertido suficientes medidas de seguridad para la protección de los datos tratados. Ello confirma la necesidad de extremar el control sobre los proveedores críticos y de verificar el alcance real de las certificaciones ISO 27001 aportadas.
NOTA: pueden producirse pequeñas discrepancias en la suma de cada tabla a causa de la conversión de porcentajes a unidades en relación a los datos de origen del año 2018.
FUENTE DE LOS DATOS: Agencia Española de Protección de Datos.
Son muchas las empresas que han nombrado un DPO y no lo han dotado de recursos suficientes para realizar su función. En este artículo analizaremos las acciones que puede realizar el DPO para superar esta situación, agrupándolas en dos apartados: (1) En un mundo ideal, en el que se plantean las acciones que un DPO puede desarrollar en un plano teórico y (2) En el mundo real, en el que comentamos las acciones más prácticas que puede realizar un DPO al que no le queda otra opción que adaptarse a un esquema low cost.
EN UN MUNDO IDEAL
Infracción grave
El artículo 38.2 del RGPD, impone al responsable del tratamiento la obligación de facilitar al DPO los recursos necesarios para el desempeño de sus funciones. El incumplimiento de esta obligación es una infracción grave, prevista en el artículo 83.4.a del RGPD.
Es evidente que el DPO no va a denunciar a la empresa que lo ha contratado, pero al menos puede argumentar que la asignación de recursos insuficientes a un DPO es una infracción tan grave como no tener DPO, cuando es exigible su nombramiento. Este argumento se basa en la necesidad de dar coherencia al nombramiento del DPO, dándole recursos para evitar que su función quede sin cumplir. También se basa en el riesgo de que la insuficiencia de recursos quede acreditada en una inspección de la autoridad de control y se imponga la correspondiente sanción.
Posición correcta
Otra acción a realizar en el plano teórico es verificar que la posición del DPO en el organigrama de la empresa es la adecuada. De acuerdo con el artículo 38.3 del RGPD el DPO rendirá cuentas directamente al más alto nivel jerárquico y no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. Si el DPO no está en esa posición, su independencia no está garantizada y se producirá una infracción grave del RGPD, al incumplir las obligaciones establecidas en el artículo 38 del RGPD.
En la rendición de cuentas, el DPO puede reiterar la necesidad de contar con más recursos, o de ocupar una posición más cercana al nivel jerárquico más alto, dejando constancia del riesgo de infracción grave del RGPD en ambos casos.
Delegación de autoridad
Otra anomalía consiste en que el DPO no tenga la autoridad suficiente, tanto a nivel jurídico como práctico. Ello se traducirá en una escasa eficacia de las instrucciones dirigidas al negocio, de la actividad de supervisión y de la aplicación del principio de privacidad desde el diseño. Un ejemplo clásico es el de las campañas de marketing que se diseñan, se elaboran sin contar con el DPO hasta la fase final, previa al lanzamiento.
En este caso el DPO debe realizar un esfuerzo adicional para demostrar la utilidad de la labor preventiva, sensibilizando al negocio sobre la necesidad de revisar con suficiente antelación cualquier iniciativa que pueda tener impacto en materia de privacidad. La delegación de autoridad debe contribuir al objetivo de que el negocio tenga un nivel de sensibilización y alerta adecuado sin tener que recurrir a mensajes apocalípticos ni al constante envío de noticias sobre incidentes de seguridad e infracciones en otras empresas. Aunque ello sigue siendo bastante efectivo en la práctica.
Justificación del presupuesto
Siguiendo en el plano teórico e ideal, el presupuesto del DPO se puede justificar fácilmente siguiendo los siguientes pasos:
En la lista de 364 tareas derivadas del RGPD elaborada por nuestro despacho, la suma total del tiempo de dedicación asciende a más de 4.000 horas al año, lo cual sugeriría un equipo ideal de al menos 2 personas a jornada completa para una gran empresa. Estas cifras pueden cambiar en función del sector al que pertenece la empresa (B2B o B2C) y del número de empresas que formen el grupo.
Estos pueden ser los datos a utilizar en el momento de justificar y negociar el presupuesto. Otra cosa es conseguirlo.
Cabe añadir que la externalización total o parcial de las funciones del DPO puede permitir un ahorro importante gracias a la especialización en la materia y al uso de una metodología orientada a la eficiencia operativa.
Comparativa con otros riesgos de incumplimiento
Cabe añadir a la lista de argumentos el hecho de que la normativa de protección de datos ha llegado a un nivel de complejidad, probabilidad e impacto que no tiene nada que envidiar a otras normativas, como la tributaria o la laboral. Si la prevención de los riesgos tributarios, contables, laborales y societarios tienen asignados unos recursos internos y externos proporcionados a su complejidad, probabilidad e impacto potencial, es lógico que el DPO también cuente con recursos similares.
Sensibilización de los directivos que tienen que aprobar el presupuesto
Dado que estamos hablando de cumplimiento normativo, en la tarea de concienciación de los directivos que tienen que aprobar su presupuesto, el DPO puede aprovechar algunos de los 25 argumentos que en su día elaboramos para el Compliance Officer.
EN EL MUNDO REAL
Creación de una estructura de control
Si el DPO no consigue presupuesto para disponer de un equipo propio o externo, deberá recurrir a los recursos internos de la empresa. Ello significa utilizar la estructura de control ya existente, estableciendo una colaboración directa con los responsables de las distintas funciones de control, siempre que ello no afecte a su independencia ni genere conflictos de interés.
Otra opción consiste en que el DPO cree su propia estructura de control. Para ello puede solicitar la colaboración de los responsables internos de cada tratamiento, a los que identificó en el momento de realizar el registro de actividades de tratamiento. Estos responsables deben asumir la ejecución de cada tarea o delegarla a otros miembros de su equipo.
Si el DPO no ha conseguido la suficiente delegación de autoridad, deberá utilizar habilidades de comunicación y persuasión que le permitan conseguir la colaboración de los distintos departamentos en la creación de la estructura de control.
Asignación de tareas periódicas
Una vez creada la estructura interna de control, habrá que distribuir las tareas relacionadas en la lista de tareas recurrentes y puntos de verificación antes comentada. La asignación de estas tareas requerirá la correspondiente formación, que puede impartirse de forma presencial o a través de fichas, manuales o tutoriales en vídeo que puede elaborar el propio DPO. También puede utilizar los elaborados por nuestro despacho.
Seguimiento de la ejecución de las tareas
Al delegar una buena parte de las tareas recurrentes, el DPO podrá destinar más tiempo al seguimiento y a la supervisión de su ejecución. Este trabajo puede hacerse de forma manual o incluso se puede automatizar con aplicaciones genéricas de gestión de proyectos o con aplicaciones especializadas como Compliance 3.0.
Recogida de evidencias
Finalmente, y de acuerdo con el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, el DPO deberá utilizar la estructura de control creada para obtener las pruebas que acrediten la ejecución de las acciones de prevención y control, así como el cumplimiento del RGPD y de la LOPD. La conservación ordenada de estas pruebas puede realizarse a través de un sistema de gestión documental genérico o a través de un repositorio de evidencias especializado y con sellado de tiempo automático, como el de la aplicación Compliance 3.0.
La creación de una cultura de cumplimiento en materia de protección de datos es un objetivo que necesita un tiempo de maduración cuya duración depende mucho del sector al que pertenece la empresa. Mientras se alcanza el nivel de madurez apropiado, el DPO puede argumentar que los recursos destinados al cumplimiento del RGOD y la LOPD no son un gasto únicamente asociado al cumplimiento, sino también una inversión destinada a proteger otros activos intangibles que conviven con los datos personales en los mismos sistemas informáticos: la información confidencial, la información privilegiada, la propiedad intelectual y la propiedad industrial.
ACTUALIZACIÓN – 09/03/2019
Añado al artículo las aportaciones de Jordi Civit, al que agradezco su colaboración.
Nombramiento voluntario del DPO
En el supuesto que el nombramiento del DPO haya sido voluntario, por no cumplir con las exigencias que establece el Reglamento, cabe recordar que la gravedad del incumplimiento es la misma ya que en el caso de dicha designación voluntaria le atienden las mismas obligaciones al responsable del tratamiento.
Relación de controles asignados a los responsables
Como último recurso, cabría la posibilidad que el DPO defina una relación de controles a llevar a cabo por parte de los Responsables de las diferentes actividades de tratamiento de la organización con objeto de remitir una autoevaluación de controles que deban ser valorados de forma objetiva por su parte. De esta forma se conseguirían dos objetivos, i) el DPO demostraría diligencia en la supervisión y asesoramiento de la organización en cuanto el cumplimiento normativo y; ii) el Responsable del tratamiento sería consciente de las obligaciones que le atienden así como de las acciones que debería llevar a cabo (son los controles) para alinearse con la regulación.
Reputación empresarial
Adicionalmente, y como activo intangible más importante a proteger por parte de las organizaciones estaría la REPUTACIÓN EMPRESARIAL.
¿Se ha parado su organización a reflexionar sobre la dificultad de conseguir la fidelidad de sus consumidores? La confianza es una labor que se trabaja día a día, y que cuesta mucho alcanzar pero cuesta muy poco perder.
Jornadas de sensibilización
En aquellas organizaciones donde sea difícil evidenciar el valor de la función del DPO, es recomendable que se realicen jornadas de sensibilización con la Dirección o las diferentes áreas que componen la organización.
El hecho de realizar una jornada específica puede dificultar la captación de la atención, es por ello que es recomendable participar como un ponente más en jornadas de reuniones departamentales o ejecutivas que puedan realizarse. En dicho foro, es el momento de exponer los objetivos de la organización en materia de Privacidad, las obligaciones que nos atienden por nuestra práctica sistemática así como los riesgos a los que estamos sujetos.
A la hora de mostrar la debida diligencia, por parte del DPO, es importante mantener un registro de los asistentes y la duración de dichas jornadas.
Como se comentaba anteriormente, es importante una adecuada gestión de la comunicación con las Direcciones de las diferentes áreas de negocio con objeto de que vean con buenos ojos la participación en dichas reuniones, así como evidenciar el beneficio que les pueda suponer a ellos como responsables de las actividades de tratamiento de la organización.
Publicar Infografía o resúmenes periódicos
La gestión de la comunicación es un factor fundamental para ir creando las estructuras de control necesarias en las organizaciones. Una acción bastante sencilla y que puede tener una gran repercusión es la creación de breves resúmenes con aspectos más relevantes a tener en cuenta en la operación habitual de la organización. Incluso, se podrían desarrollar una relación de DO’s & DONT’s a llevar a cabo por cada una de las áreas de negocio en base al nivel de aplicación del reglamento en sus tratamientos de datos. Si se dispone de un portal interno, o repositorio común de información, es importante que se publique y se encuentre dicha información disponible para consulta de todos los colaboradores.
Si hacemos un análisis de las brechas de seguridad que se han conocido desde el 25 de mayo veremos que un gran número de ellas han tenido su origen en el proveedor que trataba los datos.
En el momento de distribuir las responsabilidades veremos que el incumplimiento de las obligaciones del proveedor encargado del tratamiento puede afectar al responsable del tratamiento que ha contratado sus servicios.
El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando)
En la siguiente tabla se puede ver cómo podrían distribuirse las responsabilidades entre el responsable y el encargado del tratamiento en cada uno de los escenarios en los que puede incurrir un proveedor.
Esta tabla no contempla las posibles acciones penales derivadas de un eventual delito contra la intimidad en el caso de violación de la confidencialidad o de un delito de daños en el caso de violación de la integridad.
En la práctica, la empresa responsable del tratamiento será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.
Salvo en el caso de las excepciones contempladas en la tabla anterior, el interesado no tiene acción directa contra el encargado del tratamiento, por lo que si quiere reclamar los daños y perjuicios sufridos tendrá que demandar al responsable del tratamiento, que es el que tiene una relación contractual con el interesado.
El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados, ya que puede encontrar limitaciones de responsabilidad en el contrato o limitaciones de cobertura en la póliza de seguros del proveedor.
La empresa responsable del tratamiento puede verse entonces atrapada entre las reclamaciones de los perjudicados y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados.
La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:
En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo. La limitación de responsabilidad en este caso también puede ser tres tipos:
Un ejemplo de supuesto excluido de la cobertura del seguro de responsabilidad civil son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.
La tercera barrera sería la solvencia económica del proveedor.
El análisis de la existencia y la dimensión de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.
Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:
Una vez constatado el papel de los proveedores en las brechas de seguridad y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de selección, homologación, contratación y control continuado de los proveedores que traten datos personales, con el fin de introducir medidas que permitan una distribución adecuada de las responsabilidades.
Estas medidas deberán incluir una revisión del contrato, de la cobertura del seguro y de la solvencia del proveedor, con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.