Codigo Alpha

Muito mais que artigos: São verdadeiros e-books jurídicos gratuitos para o mundo. Nossa missão é levar conhecimento global para você entender a lei com clareza. 🇧🇷 PT | 🇺🇸 EN | 🇪🇸 ES | 🇩🇪 DE

Codigo Alpha

Muito mais que artigos: São verdadeiros e-books jurídicos gratuitos para o mundo. Nossa missão é levar conhecimento global para você entender a lei com clareza. 🇧🇷 PT | 🇺🇸 EN | 🇪🇸 ES | 🇩🇪 DE

Derecho Digital y Protección de Datos

Contratos con proveedores estándares técnicos de seguridad TOMs

Código Alpha

Los anexos de seguridad técnica y organizativa garantizan la responsabilidad proactiva y blindan jurídicamente la cadena de tratamiento de datos.

En el ecosistema del Derecho Digital, la seguridad de la información ha dejado de ser una cuestión puramente técnica para convertirse en el eje gravitacional de la responsabilidad jurídica. Cuando una empresa contrata a un proveedor de servicios (SaaS, hosting, consultoría) que accede a datos personales, el contrato principal suele centrarse en el precio y el nivel de servicio (SLA), relegando la protección de datos a una cláusula genérica de «cumplimiento de la ley». Esta negligencia documental es el origen de las sanciones más severas de la AEPD, ya que ante una brecha de seguridad en el proveedor, el responsable del tratamiento será juzgado por su falta de diligencia en la elección y supervisión técnica.

El problema se vuelve crítico debido a la asimetría de conocimientos. El equipo legal a menudo no comprende los protocolos de cifrado o las arquitecturas de red, mientras que el equipo de sistemas ignora que una medida técnica no documentada legalmente es, a efectos de prueba, inexistente. Esta desconexión genera anexos de Medidas Técnicas y Organizativas (TOMs) que son meras declaraciones de intenciones, sin métricas verificables ni capacidad de auditoría real. En caso de incidente, la falta de una «narrativa de justificación» técnica en el contrato impide trasladar la responsabilidad al proveedor o atenuar la sanción del regulador.

Este artículo desglosará cómo estructurar anexos de seguridad que sirvan como escudo legal y técnico. Analizaremos los estándares de prueba necesarios para validar que un proveedor es confiable, la jerarquía de las medidas que deben exigirse según el riesgo y el flujo de trabajo para que el artículo 28 del RGPD no sea solo una formalidad burocrática, sino un mecanismo de control operativo efectivo.

Checklist de validación para anexos de seguridad:

  • Especificidad Técnica: Prohibir términos vagos como «medidas adecuadas»; exigir protocolos exactos (ej. TLS 1.3, AES-256).
  • Derecho de Auditoría: Incluir la facultad de realizar inspecciones in situ o mediante terceros independientes de forma anual.
  • Notificación de Brechas: Establecer un plazo máximo de 24-48 horas para que el proveedor informe de cualquier incidente sospechoso.
  • Gestión de Subencargados: Exigir una lista cerrada y autorización previa para cualquier cambio en la cadena de subcontratación.

Ver más en esta categoría: Derecho Digital y Protección de Datos

En este artículo:

Última actualización: 06 de febrero de 2026.

Definición rápida: Los anexos de seguridad (TOMs) son documentos contractuales vinculantes donde el encargado del tratamiento detalla las barreras físicas, lógicas y organizativas que implementa para proteger los datos personales del responsable.

A quién aplica: A empresas que externalizan servicios (Responsables), proveedores que procesan datos (Encargados) y Delegados de Protección de Datos (DPO) encargados de supervisar la seguridad jurídica de la relación.

Tiempo, costo y documentos:

  • Tiempo de negociación: Dependiendo de la criticidad del servicio, entre 1 y 3 semanas para validar la adecuación técnica del anexo.
  • Documentos Clave: Acuerdo de Encargo de Tratamiento (DPA), Inventario de Medidas TOMs, Cuestionario de Evaluación de Proveedores.
  • Costo de Incumplimiento: Sanciones de hasta 20 millones de euros o el 4% de la facturación anual, además de daños reputacionales incalculables.

Puntos que suelen decidir disputas:

  • La trazabilidad de las medidas: si el proveedor puede demostrar con logs que la medida estaba activa en el momento de un ataque.
  • La actualización del estado de la técnica: anexos redactados hace 5 años con protocolos obsoletos (ej. SSL v3) son prueba de negligencia.
  • La claridad en el aislamiento de datos: cómo garantiza el proveedor que los datos del Cliente A no se mezclan con los del Cliente B.

Guía rápida sobre Anexos de Seguridad y TOMs

  • No use el anexo estándar del proveedor por defecto: Los proveedores suelen proponer TOMs de «mínimos» para protegerse ellos mismos; el responsable debe exigir los «máximos» acordes a su riesgo.
  • Vincule el anexo al objeto del contrato: Las medidas de seguridad para una plataforma de nóminas deben ser infinitamente más estrictas que las de un servicio de mantenimiento de aire acondicionado.
  • Exija certificaciones externas: Documentar que el proveedor cumple con la ISO 27001 o el Esquema Nacional de Seguridad (ENS) es un atajo legal de alta eficacia probatoria.
  • Defina el borrado seguro: El anexo debe especificar el método técnico para la devolución o destrucción de los datos una vez finalice el contrato.

Entender los anexos de seguridad en la práctica

La redacción de un anexo de seguridad no es un ejercicio de creatividad, sino de gestión de riesgos. En la práctica, el derecho digital exige que el responsable del tratamiento actúe como un auditor preventivo. Esto significa que antes de firmar, se debe realizar una Evaluación de Impacto (EIPD) si el tratamiento es de alto riesgo, y las conclusiones de esa evaluación deben ser los requisitos mínimos del anexo de seguridad. Si el riesgo identificado es la pérdida de integridad, el anexo debe obligar al proveedor a utilizar sistemas de hashing y firmas digitales para cada transacción.

Lo que se considera «razonable» varía según el mercado. Para un proveedor de Cloud Computing, la razonabilidad implica redundancia geográfica de datos y protección contra ataques DDoS de última generación. Para una gestoría local, implica control de acceso físico a los expedientes y cifrado de discos duros. Las disputas suelen desarrollarse cuando el anexo es vago y ocurre un Ransomware. El proveedor alegará que tenía «seguridad estándar», mientras que el cliente argumentará que esa seguridad era insuficiente para los datos sensibles tratados. Sin un anexo detallado, el juez tendrá dificultades para deslindar la responsabilidad contractual.

Jerarquía de prueba en la seguridad contractual:

  • Prueba Oro: Certificación ENS (Nivel Alto) o SOC 2 Tipo II con informe de auditoría adjunto al contrato.
  • Prueba Plata: Listado detallado de TOMs con compromiso de reporte trimestral de vulnerabilidades y parches.
  • Prueba Bronce: Declaración jurada del proveedor sobre sus políticas internas de seguridad sin verificación externa.
  • Riesgo Máximo: Cláusula genérica que solo cita el cumplimiento del RGPD sin detalles técnicos.

Ángulos legales y prácticos que cambian el resultado

La calidad de la documentación es el factor decisivo en la exoneración de responsabilidad. Si el responsable del tratamiento puede demostrar que exigió medidas de vanguardia, que verificó las certificaciones del proveedor y que incluyó cláusulas de indemnidad potentes, la AEPD tenderá a ver la brecha como un evento de fuerza mayor o culpa exclusiva del tercero. Sin embargo, si el anexo es una copia de una plantilla de internet, el regulador interpretará que el responsable falló en su deber de vigilancia in vigilando.

Otro ángulo crítico es la transferencia internacional de datos. Si el proveedor utiliza servidores en EE.UU. u otros terceros países, el anexo de seguridad debe estar alineado con las Cláusulas Contractuales Tipo (SCC) y el Marco de Privacidad de Datos. Documentar las TOMs en estos casos es obligatorio para compensar la falta de una legislación de privacidad equivalente en el país de destino. Las medidas de cifrado donde la llave solo la tenga el cliente europeo son, a menudo, la única solución legalmente viable.

Caminos viables que las partes usan para resolver

Cuando surge un conflicto por falta de seguridad, la primera vía de resolución suele ser el Plan de Remediación. En lugar de rescindir el contrato inmediatamente, las partes acuerdan un calendario (ej. 30 días) para que el proveedor actualice sus TOMs a los estándares exigidos. Esto se documenta como una adenda al contrato original. Esta vía protege la continuidad del negocio mientras se eleva el nivel de cumplimiento legal ante una posible inspección.

Si la brecha ya ha ocurrido, el camino se divide entre la notificación administrativa y la reclamación de daños y perjuicios. Aquí, el anexo de seguridad funciona como el baremo de incumplimiento. Si el anexo obligaba al «doble factor de autenticación» (MFA) y el atacante entró por una cuenta sin MFA, el incumplimiento es flagrante y la responsabilidad del proveedor es casi automática. La claridad en la redacción técnica ahorra años de peritajes informáticos en sede judicial.

Aplicación práctica de las TOMs en contratos reales

El flujo de trabajo para asegurar un contrato con un proveedor debe ser metódico. El error más común es tratar el anexo de seguridad como el último paso antes de la firma, cuando debería ser parte de la fase de licitación. Si un proveedor no puede cumplir con sus estándares de seguridad documentados desde el inicio, no es un proveedor apto para su organización, independientemente de su precio. La aplicación práctica requiere que el equipo legal actúe con una mentalidad de auditor.

En el sector financiero o de salud, por ejemplo, el flujo no termina con la firma. Se debe establecer un cuadro de mando de cumplimiento donde el proveedor reporte periódicamente la eficacia de sus medidas. Si el anexo estipula que los parches de seguridad críticos se aplican en 48 horas, el responsable debe tener el derecho de solicitar los logs de parcheo aleatoriamente para verificar que la cláusula no es letra muerta. Este es el verdadero significado de la responsabilidad proactiva.

  1. Clasificación del proveedor: Evaluar el volumen y sensibilidad de los datos que manejará para definir el nivel de TOMs exigible.
  2. Emisión del cuestionario técnico: Solicitar al proveedor que describa sus medidas actuales antes de redactar el anexo.
  3. Redacción del anexo específico: Traducir las capacidades del proveedor a obligaciones contractuales con indicadores de desempeño (KPIs) de seguridad.
  4. Negociación de la cláusula de auditoría: Definir quién paga la auditoría, con qué preaviso se realiza y qué ocurre si se detectan fallos.
  5. Validación de la cadena de subencargados: Revisar los contratos que el proveedor tiene con sus propios subcontratistas (ej. su centro de datos).
  6. Establecimiento del protocolo de terminación: Asegurar que el proveedor no retenga copias residuales de los datos tras finalizar el servicio.

Detalles técnicos y actualizaciones relevantes

La evolución del malware y las técnicas de hacking obligan a que los anexos de seguridad sean documentos dinámicos. Incluir una cláusula que obligue al proveedor a actualizar sus TOMs anualmente según el «estado del arte» es una protección legal vital. En 2026, conceptos como Zero Trust Architecture o el cifrado homomórfico están pasando de ser vanguardia a ser requisitos esperados en sectores críticos. El anexo debe prever que la seguridad de hoy será la vulnerabilidad de mañana.

Un detalle técnico que a menudo se olvida es la gestión de identidades y accesos (IAM). El anexo no debe decir «usamos contraseñas», debe especificar la longitud mínima, la rotación obligatoria y, sobre todo, el procedimiento de baja inmediata de accesos para empleados del proveedor que abandonan la empresa. Las brechas por cuentas «huérfanas» de ex-empleados de proveedores son una constante en la jurisprudencia de privacidad digital.

  • Aislamiento lógico: Verificación de que el proveedor utiliza VLANs o contenedores separados para cada cliente.
  • Logs de acceso: Obligación de conservar registros de quién accedió a qué dato durante al menos 12 meses.
  • Cifrado en reposo: Uso de sistemas como BitLocker o LUKS para proteger los servidores físicos frente a robos.
  • Resiliencia: Tiempo máximo de recuperación (RTO) y punto de recuperación (RPO) en caso de desastre natural o ciberataque.
  • Pruebas de penetración: Exigir al proveedor que realice Pentests anuales y comparta el resumen ejecutivo de resultados.

Estadísticas y lectura de escenarios

Los datos del mercado de ciberseguridad y las resoluciones de las autoridades de protección de datos muestran un patrón claro: el riesgo de terceros es la principal puerta de entrada de incidentes graves. Las organizaciones que no supervisan activamente a sus proveedores tienen una probabilidad significativamente mayor de sufrir consecuencias legales irreparables.

Origen de las brechas de datos en entornos corporativos

58% – Ataques a través de la cadena de suministro: Vulnerabilidades en software o servicios de terceros que comprometen al responsable.

22% – Errores de configuración del proveedor: Bases de datos abiertas o falta de cifrado por negligencia operativa del encargado.

15% – Mal uso interno por empleados del proveedor: Accesos no autorizados por falta de controles de identidad granulares.

5% – Causas físicas o fortuitas: Desastres en centros de datos o robos de hardware no cifrado.

Impacto de la inclusión de TOMs específicas en contratos

  • Reducción de cuantía de multas: 40% → 15% (El regulador valora positivamente el esfuerzo de documentación y control previo).
  • Velocidad de detección de incidentes: 210 días → 12 días (Proveedores con TOMs de monitoreo activas detectan intrusiones mucho antes).
  • Probabilidad de exoneración judicial: ↑ 65% (Cuando el contrato especifica la medida incumplida por el proveedor).

Métricas monitorizables para el DPO:

  • Índice de actualización de TOMs: Meses transcurridos desde la última revisión técnica del anexo (Objetivo: < 12 meses).
  • Tasa de respuesta a cuestionarios: Porcentaje de proveedores que completan las evaluaciones de riesgo (Objetivo: 100%).
  • Resolución de hallazgos de auditoría: Días medios para cerrar una vulnerabilidad detectada en un proveedor (Objetivo: < 30 días).

Ejemplos prácticos de Anexos de Seguridad

Escenario A: El Escudo Legal Efectivo

Una mutua de accidentes contrata un servicio cloud. En el anexo se especifica que el proveedor debe usar cifrado AES-256 gestionado por el cliente. Ocurre un hackeo al proveedor, pero como los datos estaban cifrados y la llave era privada del cliente, el atacante solo obtiene ruido ilegible. Por qué se sostiene: La medida específica evitó el daño real a los interesados y la mutua pudo demostrar diligencia máxima ante la AEPD, evitando la sanción.

Escenario B: El Fallo por Vaguedad Contractual

Una inmobiliaria usa un CRM cuyo anexo de seguridad dice: «El proveedor implementará medidas técnicas razonables según la ley». El CRM sufre una inyección SQL sencilla que filtra miles de DNIs. El proveedor alega que sus medidas eran «estándar para el sector». Por qué falla: Al no haber indicadores específicos (ej. Web Application Firewall o Pentests obligatorios), la inmobiliaria es sancionada por no supervisar técnicamente a su encargado.

Errores comunes en anexos de seguridad y TOMs

Confundir ISO con cumplimiento absoluto: Creer que porque un proveedor tiene una certificación ya no hace falta redactar el anexo de TOMs específico para el servicio.

Anexos «estáticos»: Firmar medidas de seguridad que no prevén actualizaciones técnicas automáticas, quedando obsoletas en menos de dos años.

Falta de penalizaciones claras: No vincular el incumplimiento de las TOMs con resoluciones contractuales inmediatas o multas coercitivas al proveedor.

Omitir el factor humano: Centrarse solo en firewalls y olvidar medidas organizativas como la formación obligatoria de los empleados del proveedor.

Derecho de auditoría inviable: Incluir el derecho de auditoría pero aceptar condiciones que lo hacen imposible (ej. avisar con 6 meses o pagar costes prohibitivos).

FAQ sobre Anexos de Seguridad (TOMs)

¿Es obligatorio que el anexo de seguridad sea un documento separado?

No existe una obligación legal estricta de que sea un archivo independiente, pero es una mejor práctica de derecho digital altamente recomendada. Al separar las TOMs del cuerpo principal del contrato de servicios o del Acuerdo de Encargo de Tratamiento (DPA), facilitas su actualización periódica sin tener que renegociar las cláusulas comerciales o legales de base. Las medidas técnicas evolucionan mucho más rápido que los términos jurídicos, y tener un documento «vivo» permite una agilidad operativa necesaria para cumplir con el principio de estado de la técnica.

Además, en caso de una auditoría por parte de la AEPD o un cliente tercero, presentar un anexo de seguridad estructurado y detallado proyecta una imagen de accountability (responsabilidad proactiva) mucho más sólida. Permite que el equipo técnico del auditor valide las medidas sin tener que leer cláusulas de facturación o jurisdicción. La claridad documental es, en sí misma, una medida organizativa que reduce el riesgo de errores en la implementación de la seguridad pactada.

¿Puedo aceptar una certificación ISO 27001 en lugar de listar las TOMs?

La certificación ISO 27001 es una evidencia muy potente de que el proveedor tiene un Sistema de Gestión de Seguridad de la Información (SGSI) maduro, pero no sustituye la obligación legal de listar las medidas específicas aplicadas al tratamiento concreto. El RGPD exige que el contrato estipule las medidas de seguridad. Una ISO es genérica para toda una organización; el anexo de TOMs debe aterrizar esas medidas al flujo de datos de su empresa. Por ejemplo, la ISO no dice cómo se cifran los datos en su base de datos específica, sino que la empresa tiene un proceso para gestionar el cifrado.

La estrategia correcta es usar la certificación como un anexo de apoyo y referencia. Puede incluir una cláusula que diga: «El proveedor implementará las medidas de seguridad detalladas en su certificación ISO 27001 vigente, garantizando como mínimo los siguientes controles técnicos para este servicio…», y a continuación listar los puntos críticos (ej. MFA, cifrado, backups). De esta forma, usted aprovecha la robustez de la norma internacional pero mantiene el control legal sobre las garantías específicas exigidas por el artículo 28.

¿Qué ocurre si el proveedor se niega a incluir una cláusula de auditoría?

Si un proveedor que trata datos críticos o sensibles se niega en rotundo a permitir auditorías, está levantando una bandera roja de cumplimiento. El artículo 28.3.h del RGPD establece explícitamente que el encargado del tratamiento debe poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento y permitir la realización de auditorías. Negarse a esta cláusula es, técnicamente, una violación directa de los requisitos del RGPD para ser un encargado válido. Como responsable, usted asume un riesgo jurídico altísimo si sigue adelante con ese proveedor.

Para desbloquear la negociación con proveedores grandes (que suelen ser los más reacios), se puede acordar el uso de auditorías por terceros. En lugar de que usted entre en sus servidores, el proveedor se compromete a someterse a una auditoría anual realizada por una firma reconocida (Big Four o similar) y a entregarle a usted el «Resumen Ejecutivo» o informe de conformidad. Esto protege la seguridad del proveedor y satisface su necesidad legal de verificación. Si ni siquiera aceptan esto, lo más prudente es buscar una alternativa que ofrezca mayores garantías de transparencia.

¿Cómo se documentan las TOMs en una transferencia internacional de datos?

Tras la anulación de anteriores marcos de transferencia y la evolución de la jurisprudencia (Schrems II), documentar las TOMs en transferencias internacionales es vital. Ya no basta con firmar las Cláusulas Contractuales Tipo (SCC). Debe realizarse una evaluación del nivel de protección del país de destino (TIA) y el anexo de seguridad debe incluir medidas suplementarias. La medida más eficaz es el cifrado fuerte donde el proveedor en el extranjero no tenga acceso a las claves (Zero-Knowledge encryption), asegurando que incluso si una autoridad local solicita los datos, estos sean ilegibles.

Otras medidas organizativas obligatorias incluyen el compromiso del proveedor de impugnar legalmente cualquier solicitud de acceso a datos gubernamental desproporcionada y de notificar al responsable europeo de inmediato (si la ley local lo permite). El anexo debe reflejar que el encargado del tratamiento actúa como un mero custodio técnico sin capacidad de «entender» la información procesada. Sin estas TOMs reforzadas, cualquier transferencia de datos a países sin decisión de adecuación corre el riesgo de ser declarada ilegal por los reguladores europeos.

¿Deben incluirse medidas de seguridad física en un anexo para servicios SaaS?

Absolutamente. Aunque el software sea «la nube», los datos residen en servidores físicos reales en algún lugar del mundo. El anexo de TOMs debe contemplar la seguridad de los centros de datos: control de accesos biométricos, vigilancia 24/7, sistemas anti-incendio y redundancia de suministro eléctrico. Muchos proveedores SaaS utilizan a su vez encargados como AWS o Azure para la infraestructura física; en ese caso, el anexo debe certificar que el proveedor ha auditado a su infraestructura y que esta cumple con estándares de seguridad física de alto nivel.

Además de la infraestructura cloud, no olvide la seguridad física de las oficinas del proveedor donde los empleados acceden al soporte técnico. Si un empleado del soporte puede ver datos de sus clientes desde un portátil sin cifrar en una cafetería, de nada sirve que el servidor esté en una base militar. El anexo debe obligar a políticas de cifrado de terminales móviles y prohibir el almacenamiento de datos en dispositivos locales, cerrando el círculo de la protección física de la información.

¿Qué validez tiene una declaración de TOMs firmada digitalmente?

La firma electrónica (especialmente si es cualificada) otorga al anexo de seguridad una presunción de autenticidad e integridad fundamental en un proceso judicial. En derecho digital, demostrar que el proveedor se comprometió exactamente a esas medidas y no a otras es clave. Una firma digital garantiza que el documento no ha sido alterado desde su formalización. Si el proveedor intenta alegar después de una brecha que «esa medida no estaba incluida», el sellado de tiempo y la integridad del archivo firmado cerrarán cualquier vía de escape legal.

No obstante, la validez jurídica de la firma no sustituye la validez técnica de la medida. Un contrato perfectamente firmado que obliga a una medida inútil (ej. usar un antivirus gratuito para proteger datos bancarios) no servirá para evitar la sanción por negligencia. La firma electrónica valida el acuerdo, pero el contenido de las TOMs debe ser validado por un experto en seguridad para asegurar que cumple con el estándar de diligencia debida exigido por la normativa.

¿Cómo se gestiona el cambio de TOMs durante la vida del contrato?

El anexo debe prever un procedimiento de gestión de cambios. Es fundamental incluir una cláusula que permita al proveedor mejorar sus medidas de seguridad unilateralmente, siempre que el nivel de protección resultante sea igual o superior al pactado originalmente. Sin embargo, cualquier reducción del nivel de seguridad o cambio en un protocolo crítico (ej. pasar de cifrado local a cifrado en la nube del proveedor) debe requerir el consentimiento expreso y por escrito del responsable del tratamiento.

La mejor forma de operativizar esto es mediante una notificación anual obligatoria. El encargado envía al responsable una versión actualizada de sus TOMs; si el responsable no se opone en un plazo de 15 días, estas pasan a ser el nuevo estándar contractual. Este mecanismo asegura que el contrato siempre refleje el estado real de la tecnología y evita que la documentación legal se convierta en una pieza de arqueología informática que no sirve para defenderse ante una brecha de seguridad real.

¿Debo exigir TOMs diferentes para un subencargado que para el encargado principal?

El principio de trazabilidad de la protección exige que las obligaciones de seguridad se transmitan en cascada («back-to-back»). El artículo 28.4 del RGPD obliga a que el encargado imponga a sus subencargados las mismas obligaciones de protección de datos que se establecieron en su contrato con el responsable. Por tanto, el anexo de TOMs del subencargado debe ser, como mínimo, tan estricto como el del encargado principal. Si usted exige cifrado a su proveedor de software, este debe asegurar que su proveedor de hosting también implementa dicho cifrado.

En la documentación legal, esto se resuelve exigiendo al encargado que aporte evidencia de que ha firmado anexos de seguridad equivalentes con toda su cadena de subcontratación. Un error común es que la seguridad se «diluya» a medida que bajamos en la cadena de tratamiento. Documentar la obligatoriedad de transmitir las TOMs es la única manera de evitar que un eslabón débil en la subcontratación rompa el blindaje jurídico de toda su organización.

¿Es legal que el proveedor use TOMs genéricas para todos sus clientes?

Es una práctica estándar en la industria de servicios masivos (SaaS) y es legal siempre que esas medidas genéricas sean suficientes para el riesgo específico de su tratamiento. No obstante, la legalidad de la práctica no elimina la responsabilidad del cliente. Como responsable del tratamiento, usted debe evaluar si esas «medidas estándar» del proveedor cubren sus necesidades particulares. Si usted trata datos genómicos y el proveedor ofrece TOMs estándar para e-commerce, el tratamiento podría ser declarado negligente a pesar de estar contractualmente cubierto por el anexo del proveedor.

Para resolver este desajuste, se recomienda incluir una cláusula de «Requisitos Particulares de Seguridad». En ella, usted acepta las TOMs genéricas del proveedor pero añade dos o tres medidas críticas adicionales para su caso de uso (ej. una mayor frecuencia de backups o un log de accesos extendido). Si el proveedor es capaz de parametrizar su servicio para cumplirlas, usted habrá personalizado su blindaje legal sin obligar al proveedor a cambiar toda su infraestructura.

¿Qué papel juegan las TOMs en la limitación de la responsabilidad por daños?

Un anexo de seguridad bien redactado es la pieza clave para la limitación de daños. Si el contrato especifica las medidas técnicas que el proveedor debe cumplir, cualquier brecha causada por el incumplimiento de esas medidas específicas será considerada un «incumplimiento doloso o gravemente negligente», lo cual suele anular los límites de responsabilidad económica pactados en el contrato principal. En términos legales, las TOMs definen el estándar de cuidado; si el proveedor no lo cumple, pierde sus protecciones de responsabilidad limitada ante la reclamación de daños del cliente.

Por otro lado, para el proveedor, cumplir escrupulosamente con las TOMs documentadas sirve como prueba de que actuó con la debida diligencia profesional. Si ocurre un ataque de «Día Cero» (imprevisible e inevitable con el estado actual de la técnica) y todas las medidas pactadas estaban activas, el proveedor tendrá una defensa sólida para argumentar que no hubo negligencia y que el daño fue fortuito. Las TOMs, por tanto, actúan como un seguro jurídico para ambas partes al objetivar lo que constituye un comportamiento diligente.

Referencias e próximos pasos

  • Directrices del CEPD sobre el Artículo 28: Revisar la Guía 07/2020 para entender la interpretación europea de la responsabilidad de los encargados.
  • Guía de Medidas de Seguridad de la AEPD: Utilizar el catálogo oficial como base para los anexos de TOMs.
  • Plataformas de gestión de proveedores: Explorar herramientas como Vanta o Drata para automatizar la vigilancia de las certificaciones de terceros.
  • Contrato Modelo de la Comisión Europea: Adaptar las Cláusulas Contractuales Tipo para asegurar la coherencia en transferencias internacionales.

Leitura relacionada:

  • Responsabilidad proactiva y principio de accountability
  • Evaluación de impacto en protección de datos (EIPD) paso a paso
  • Cómo gestionar una brecha de seguridad: plazos y notificaciones
  • La importancia del Esquema Nacional de Seguridad para empresas privadas

Base normativa y jurisprudencial

El marco regulador de la contratación de proveedores descansa en el Artículo 28 del RGPD, que impone al responsable la obligación de elegir únicamente a encargados que ofrezcan garantías suficientes de seguridad. En el ámbito nacional, la LOPDGDD 3/2018 desarrolla estos deberes y enfatiza la importancia de la supervisión continua. Para proveedores que trabajan con el sector público, el Esquema Nacional de Seguridad (ENS) es de obligado cumplimiento, estableciendo niveles de TOMs específicos según la sensibilidad del sistema.

La jurisprudencia reciente, incluyendo sentencias del Tribunal de Justicia de la Unión Europea (TJUE) en materia de transferencias (Schrems II), ha elevado el estándar de diligencia exigido. Los tribunales españoles están empezando a condenar solidariamente a responsables que no disponían de anexos de seguridad específicos, considerando que la firma de una cláusula genérica no satisface el deber de protección proactiva de los derechos y libertades de los ciudadanos.

Para profundizar en los estándares de autoridad, puede consultar los recursos de la Agencia Española de Protección de Datos en aepd.es o del Comité Europeo de Protección de Datos (EDPB) en edpb.europa.eu.

Consideraciones finales

Los anexos de seguridad no son trámites accesorios; son el seguro de vida de su cumplimiento normativo. En un entorno donde las amenazas evolucionan semanalmente, el derecho digital obliga a las empresas a ser guardianes activos de la tecnología que utilizan. Un anexo de TOMs robusto, detallado y auditable es la única forma de transformar la responsabilidad proactiva de un concepto abstracto en una realidad operativa que proteja tanto al interesado como al patrimonio de la organización.

Recuerde que el blindaje jurídico de sus contratos con proveedores comienza en la colaboración fluida entre los departamentos legal e informático. Un abogado que sepa exigir cifrado y un técnico que sepa documentar riesgos son la pareja defensiva imbatible ante el regulador. No espere a que ocurra una brecha de datos para descubrir que sus contratos estaban vacíos de protección técnica.

Punto clave 1: El artículo 28 del RGPD exige garantías específicas; las cláusulas genéricas no sirven para atenuar sanciones.

Punto clave 2: La auditoría técnica es un derecho irrenunciable que debe estar pactado con procedimientos y plazos realistas.

Punto clave 3: Las TOMs deben actualizarse anualmente para reflejar el estado de la técnica y las nuevas amenazas detectadas.

  • Revise hoy mismo los anexos de seguridad de sus 5 proveedores más críticos.
  • Solicite los informes de auditoría (SOC2 o ISO) a cualquier proveedor cloud que use actualmente.
  • Implante un proceso de aprobación técnica obligatoria antes de firmar cualquier nuevo Acuerdo de Encargo de Tratamiento.

Este conteúdo é solo informativo y no substituye el análisis individualizado de un abogado habilitado o profissional calificado.

¿Tienes alguna duda sobre este tema?

Únete a nuestra comunidad jurídica. Publica tu pregunta y recibe orientación de otros miembros.

⚖️ ACCEDER AL FORO ESPAÑA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *