La globalización está suponiendo un salto del ámbito territorial, extendiéndose la influencia de las empresas a lo largo de todo el mundo. Una de las prácticas que más ha evolucionado y se ha ido adaptando a estos modelos de negocios es el outsourcing, entendido como la práctica empresarial por la que se contratan servicios profesionales externos especializados en un sector concreto.
Así, en sectores como recursos humanos, sistemas de logística, TICs o en el ámbito sanitario ha sido frecuente el uso de estos modelos empresariales, externalizando ciertas tareas con el propósito de centrarse en las actividades clave de un negocio.
Globalización y el tráfico de nuestros datos por el mundo
La apertura de las empresas a la globalización y el traspaso de las fronteras han hecho que multinacionales y grandes empresas ofrezcan sus servicios sin parar en ningún momento. El outsourcing como práctica empresarial ha permitido asentar estos modelos de funcionamiento que externalizan y acaparan todos los ámbitos que pueden.
Las figuras externalizadas, en gran cantidad de ocasiones, hacen uso de datos de carácter personal, empleados de las empresas y de los propios clientes. El tratamiento de datos personales por terceros es un riesgo para la intimidad de los titulares. La ciberseguridad y la protección de datos han sido dos de los ámbitos que más se han visto afectados en la contratación de servicios profesionales externos. Mediante estas prácticas, muchas empresas niegan tener responsabilidad cuando la protección de datos es vulnerada, perdiéndose todo incentivo a proteger la información con la que se trabaja sobre un cliente. Los proveedores tienen menos cuidado a la hora de compartir datos, y se aumenta el riesgo de fugas en la seguridad al hacer uso de los datos por terceros.
RGPD como estándar de calidad
Los centros de procesamiento de datos están en constante crecimiento, y países como India, incluso Rusia y ahora también Túnez, han convertido el outsourcing en un negocio rentable y con muchos beneficios. La transferencia de datos con estos países, que no cumplen los niveles de protección adecuados, implica que sea consideradas transferencias de carácter internacional (art. 44 y ss. RGPD). Esto implica que tan sólo serán permitidas cuando se establezcan garantías adecuadas o cumplimiento normativo, aunque se exceptúa el caso en que el titular autorice (a través consentimiento explicito) una transferencia considerada necesaria por el responsable del tratamiento.
Aunque existen diversos mecanismos, se recomienda hacer uso de las cláusulas tipo de protección que ofrece la Comisión, así como de los mecanismo de certificación que recomienda el propio RGPD.
Todavía estamos lejos de que una protección adecuada sea garantizada, al menos fuera del ámbito de la Unión Europea. Por ello, es importante que las propias empresas tomen medidas con el propósito de proteger la privacidad, conociendo a qué proveedores dan acceso a datos sensibles o revisando en qué condiciones se acuerda con los proveedores de distintos servicios.
Esta normativa no busca en absoluto limitar o restringir el uso de las técnicas outsourcing dentro de los modelos de negocio, si no que pretende asegurar unos mínimos estandarizados que aseguren una protección al uso de datos personales.
Poco a poco parece que el terreno se va allanando. Las Juntas Directivas de importantes multinacionales lo tienen en cuenta y crece el protagonismo de los responsables en la protección de datos. Las condiciones contractuales adquieren relevancia y cada vez se hace más extraño la ausencia de cláusulas de confidencialidad y compromisos en los tratamientos de datos.
