RGPD Art 28 robots: contrato antes del piloto
RGPD Art 28 robots: contenido obligatorio, MTOs, subencargados, comité de empresa y responsabilidad. Lista operativa antes del piloto.
RGPD Art 28 robots: por qué el contrato de encargo es el primer documento antes del piloto
Un robot de patrulla es una plataforma móvil de captación de datos. Cámaras RGB, micrófonos por trigger y sensores térmicos generan datos personales de empleados, proveedores, visitantes y terceros no autorizados. Eso aplica desde el primer ensayo, no solo desde el modo productivo.
El reparto de roles es claro. El operador sigue siendo responsable según el Art 4 nº 7 RGPD, porque define fines y medios de la patrulla. Quarero es encargado del tratamiento según el Art 28 RGPD. En conversaciones de piloto, esa delimitación se presenta con frecuencia de forma errónea como corresponsabilidad según el Art 26. No es así: Quarero no decide rutas de patrulla, umbrales de detección o conservación en la planta concreta.
Sin contrato de encargo firmado antes de la puesta en servicio, el operador se mueve en el ámbito del Art 83 apdo. 4 RGPD. El límite de la multa es 10 millones EUR o el 2 por ciento del volumen de negocios mundial del grupo del ejercicio anterior, el importe mayor. El contrato de encargo no es un anexo a entregar después. Es documento operativo de control para plazos de borrado, cambio de subencargados y derechos de auditoría.
En instalaciones KRITIS la situación se agrava. La KRITIS-Verordnung define umbrales y obligaciones para operadores de instalaciones críticas según § 8a BSIG. Protección de datos y seguridad TI deben reflejarse en un concepto de protección coherente, no en archivadores separados. Quien trate el contrato de encargo como anexo al contrato marco produce exactamente esa incoherencia.
Siguiente paso: confrontar los requisitos KRITIS según § 8a BSIG con el propio ámbito de aplicación antes de negociar el contrato de encargo.
Contenido obligatorio según el Art 28 apdo. 3 RGPD
El Art 28 apdo. 3 RGPD enumera contenidos mínimos. Esos contenidos deben estar redactados de forma concreta para un robot de patrulla, no con fórmulas estándar.
Objeto y duración. Patrulla perimetral con el QR-2 para perímetro exterior 24/7 o el QR-3 con LiDAR y detección de drones durante un plazo mínimo de 24 meses. La prórroga se acuerda por separado.
Naturaleza y finalidad. Detección de acceso no autorizado, detección de personas como bounding box, anomalías de audio con trigger definido, comprobación de inventario en puertas. Quedan excluidos análisis de conducta de empleados concretos, registro de jornada laboral vía robot e identificación biométrica.
Categorías de datos. Imágenes, secuencias de audio activadas por trigger, posición propia del robot, marcas de tiempo, alarmas de sensores. Sin almacenamiento de plantillas biométricas, sin base de datos de cotejo facial.
Categorías de afectados. Empleados de planta, prestadores externos con acceso regular, visitantes y terceros no autorizados. Cada categoría se lleva por separado en el registro de tratamientos según Art 30.
Sujeción a instrucciones. Quarero trata exclusivamente bajo instrucción documentada del operador. Eso incluye cambios de ruta, umbrales de detección, exportación de datos a autoridades y cualquier posible transferencia internacional. Las instrucciones verbales se documentan por escrito en un plazo de 48 horas.
Siguiente paso: revisar el borrador del contrato de encargo cláusula por cláusula frente a estos cinco puntos, no validarlo en bloque.
Medidas técnicas y organizativas (MTOs)
Las MTOs son anexo al contrato de encargo y deben describir la realidad de la instalación, no afirmaciones de marketing.
Cifrado. AES-256 para datos de imagen almacenados en el robot, TLS 1.3 para la transmisión al centro de control. Rotación de claves cada 90 días, documentada en el registro de auditoría.
Seudonimización. Las personas se gestionan en el procesamiento en tiempo real como bounding box con ID numérico de tracking. No hay cotejo de nombres, rasgos faciales ni matrículas. La reidentificación solo es posible mediante revisión manual de operadores autorizados.
Restricción de acceso. Concepto de autorizaciones basado en roles con tres niveles: operador, jefe de turno, administrador. MFA para todas las cuentas. Registro de auditoría completo con marca de tiempo, acción del usuario y registro afectado. Conservación mínima 12 meses.
Plazos de borrado. Estándar 72 horas para grabaciones no asociadas a incidentes. 30 días en caso de incidente documentado con número interno de expediente. Conservación más larga solo por instrucción escrita del operador, p. ej. por denuncia penal.
Seguridad física. Carcasa del robot sellada, tamper detection con alarma inmediata al centro de control y bloqueo automático de datos. Intervenciones de mantenimiento solo por técnicos certificados con principio de doble control documentado.
El Reglamento UE de Máquinas 2023/1230 cubre funciones de seguridad de sistemas autónomos incluido el tratamiento de datos. Tamper detection y bloqueo de datos son por tanto relevantes no solo en materia de protección de datos, sino también de seguridad del producto.
Siguiente paso: contrastar el anexo de MTOs con el análisis de riesgos actual a través del responsable interno de seguridad TI.
Subencargados y transferencia a terceros países
El punto más conflictivo en las negociaciones del contrato de encargo es la cadena de subencargados. Debe estar nombrada de forma cerrada.
Quarero enumera en el contrato a todos los subencargados con nombre: hosting cloud, partners de mantenimiento, proveedores de hardware con acceso remoto. Cláusulas genéricas como "otros prestadores según necesidad" no son admisibles y se eliminan.
El hosting de los datos de sensores se realiza exclusivamente en centros de datos UE, principalmente Fráncfort y Zúrich. Proveedores cloud estadounidenses quedan excluidos, también vía filiales UE. Con ello desaparece el debate Schrems II sobre cláusulas contractuales tipo y Transfer Impact Assessment para esta categoría.
Un cambio o la incorporación de un subencargado exige 30 días de preaviso por escrito. El operador tiene derecho de objeción. En caso de objeción sin acuerdo se activa un derecho de rescisión extraordinario sin penalización contractual.
La transferencia a terceros países sin decisión de adecuación de la Comisión Europea queda excluida. Suiza se considera no problemática a través de la decisión de adecuación de 2024. Para Quarero Schweiz GmbH como contraparte se aplica además la LPD suiza. Con operadores DACH se acuerda en el contrato que rige la norma más estricta en cada caso, en la práctica generalmente el RGPD.
Siguiente paso: solicitar la lista de subencargados como anexo cerrado al contrato y anclarla en el registro interno de proveedores.
Señalización, comité de empresa y deberes de información
La mejor cláusula del contrato fracasa si la comunicación externa tiene huecos.
El Art 13 RGPD exige señalización visible en todos los accesos a la zona patrullada. En plantas con plantilla internacional es obligatoria la señalización bilingüe (alemán más inglés o el segundo idioma más frecuente). Un código QR en el cartel lleva a la información de protección de datos completa con responsable, fines, base jurídica, plazo de conservación y derechos del afectado.
La cogestión según § 87 apdo. 1 nº 6 BetrVG es obligatoria en cuanto el robot sea apto para vigilar el comportamiento o el rendimiento de los trabajadores. Esa aptitud se presume en sistemas basados en cámara, con independencia de la finalidad real. El acuerdo de empresa debe estar firmado antes del inicio del piloto, no en paralelo.
Contenido mínimo del acuerdo de empresa: exclusión de control de rendimiento y conducta, exclusión de reconocimiento facial e identificación biométrica, participación del delegado de protección de datos en cambios, derechos del comité de empresa a consultar el registro de tratamientos, vía de escalado ante sospechas.
La formación de los operadores se documenta. Las infracciones del programa de formación constituyen incumplimiento contractual según el Art 28 apdo. 3 letra b RGPD. Eso debe anclarse expresamente en el contrato, para que Quarero no devuelva tácitamente esa obligación al operador.
Siguiente paso: pedir a Quarero plantillas para el acuerdo de empresa y adaptarlas mediante el departamento jurídico propio y el letrado del comité.
Auditoría, evidencias y responsabilidad en caso de daño
El contrato de encargo regula cómo el operador puede acreditar su rol de responsable.
El operador tiene un derecho de auditoría in situ al menos una vez al año, con 14 días de preaviso por escrito. Las auditorías por causa, p. ej. tras un incidente, son posibles sin plazo. Quarero designa un interlocutor con nombre y facilita acceso a los sistemas afectados.
Sin solicitud específica, Quarero entrega anualmente un informe MTO actualizado y un resumen del último pentest. Los informes completos de pentest se entregan bajo NDA a requerimiento, ya que contienen información sobre vulnerabilidades.
La obligación de notificación de brechas está formulada con dureza: Quarero notifica al operador en un plazo de 24 horas, para que este pueda cumplir el plazo de 72 horas del Art 33 RGPD frente a la autoridad de control. La notificación contiene tipo de la brecha, categorías de datos afectadas, número estimado de afectados y medidas inmediatas adoptadas.
En la relación interna, Quarero responde por incumplimientos propios, p. ej. cifrado insuficiente o subencargados no autorizados. El operador responde por decisiones de instrucción, p. ej. definiciones erróneas de rutas o falta de señalización. Esa separación debe incluirse expresamente en el contrato, porque las autoridades suelen dirigirse a ambas partes al imponer multas.
Acreditación de seguros: Quarero mantiene seguro cibernético y de responsabilidad civil de explotación con cobertura mínima de 5 millones EUR por siniestro. La acreditación se remite anualmente al operador sin requerimiento.
Siguiente paso: depositar la cadena de escalado para notificaciones en la gestión interna de incidentes, con teléfono y canal secundario.
Interfaz con NIS-2 y KRITIS-Dachgesetz
El contrato de encargo según el Art 28 RGPD no está aislado. Es un módulo de una estructura de cumplimiento multicapa.
La Directiva NIS-2 exige seguridad de la cadena de suministro y responsabilidad personal de los órganos de dirección. El contrato de encargo según Art 28 RGPD es parte de la prueba de gobernanza adecuada de proveedores. Quien trabaje aquí con cláusulas estándar debilita en paralelo la documentación NIS-2.
Para operadores KRITIS aplica: el concepto de protección de datos y el concepto de protección según § 8a BSIG deben ser coherentes. Si el contrato prevé un plazo de borrado de 72 horas pero el concepto de protección KRITIS exige conservación forense de 90 días, la contradicción queda documentada y es atacable.
En incidentes con dato personal surgen obligaciones de notificación paralelas: BfDI según Art 33 RGPD, BSI según § 8b BSIG para KRITIS, BBK en incidentes físicos de seguridad bajo el KRITIS-Dachgesetz. El borrador del KRITIS-Dachgesetz acopla obligaciones de seguridad física y TI. Una vía única de notificación reduce errores bajo presión de tiempo.
La responsabilidad del consejo según NIS-2 cubre también una configuración deficiente del contrato de encargo con prestadores críticos en seguridad. Un DPO que valida una plantilla débil sube el riesgo hacia arriba. Quien quiera claridad ahí encuentra los detalles operativos en responsabilidad del consejo bajo NIS-2.
Recomendación: revisar el contrato de encargo y el concepto de protección KRITIS en el mismo ciclo de cumplimiento, no en carriles separados con estados de actualización distintos.
Siguiente paso: establecer un calendario único de revisión para cumplimiento NIS-2, RGPD y concepto de protección KRITIS.
Lista operativa antes del inicio del piloto
La siguiente secuencia ha resultado sólida en proyectos piloto de los últimos 24 meses.
Solicitar borrador del contrato. Quarero entrega el borrador en cinco días laborables tras la Letter of Intent. El delegado de protección de datos y el departamento jurídico revisan en paralelo. Firma antes de la entrega de hardware, no antes de la puesta en servicio. Hardware en el patio sin contrato genera ya presión en el proceso.
Realizar EIPD. Una evaluación de impacto según el Art 35 RGPD es obligatoria para patrullas con vídeo en zonas de planta de acceso público. La EIPD documenta riesgos, medidas y valoración del riesgo residual. Es base de la prueba de proporcionalidad.
Firmar acuerdo de empresa. Solicitar plantillas a Quarero, adaptarlas mediante el letrado del comité. Planificar la negociación al menos cuatro semanas antes del inicio del piloto. La EN ISO 13482 regula los requisitos de seguridad para robots de asistencia personal y es marco de referencia para movilidad autónoma en operación mixta. Esa norma debe referenciarse en el acuerdo de empresa como estándar de seguridad.
Montar señalización. Montar carteles antes del día 1, documentar fotográficamente las ubicaciones, archivar las fotos en el expediente EIPD. Sin señalización demostrable no se cumple la base jurídica según el Art 13 RGPD.
Ampliar registro de tratamientos. Inscribir concepto de borrado, categorías de datos, destinatarios y comunicaciones en el registro según el Art 30 RGPD. Designar persona responsable por nombre, no solo por función.
Documentar formación. Operadores y jefes de turno se forman antes del inicio del piloto. Archivar las constancias de formación con firma. Repetición anual, por causa ante cambios de sistema.
Quien haya cerrado estos seis puntos antes de la entrega de hardware entra en el piloto sin riesgos de protección de datos abiertos. La clasificación económica del modelo la aporta la comparativa TCO de Wachschutz. La estructura contractual misma está descrita en detalle en el modelo Robotics-as-a-Service.
Si su documentación de protección de datos y KRITIS debe prepararse para un piloto con robots de patrulla, empiece por el modelo Robotics-as-a-Service y solicite el borrador del contrato de encargo antes de cualquier planificación de hardware.