Tener un proveedor sancionado es como descubrir que el chef del restaurante donde cenas todas las semanas fue multado por manipulación indebida de alimentos, no es que la comida te haya enfermado… Pero no puedes evitar preguntarte: ¿Y ahora qué? ¿Me afecta? ¿Qué hago?

Eso mismo pasa cuando una empresa con la que trabajas, por ejemplo, un proveedor de servicios de verificación de antecedentes es sancionada por la Superintendencia de Industria y Comercio (SIC) por incumplimientos en protección de datos, como cliente, no eres el responsable directo… pero tu nombre podría aparecer en la lista de sus relaciones comerciales y eso puede tener implicaciones.

¿Qué implica para mí como cliente haber trabajado (o seguir trabajando) con una empresa sancionada?

Implica, principalmente, una posible exposición reputacional y de riesgo indirecto. Si la empresa sancionada manejaba tus datos o los de terceros en tu nombre, existe el riesgo de que el incumplimiento te afecte por extensión, especialmente si no hiciste una debida diligencia adecuada o no controlaste cómo usaban la información que les compartiste.

¿Mi empresa corre algún riesgo legal por esa relación?

No en todos los casos, ya que esto dependerá de la naturaleza del servicio.

• Si el proveedor actuaba como encargado del tratamiento de datos personales, tú sigues siendo el responsable.

• Si no supervisaste su cumplimiento, podrías ser llamado a responder por omisión o negligencia.

• La SIC ha dejado claro que el responsable no puede lavarse las manos: debe garantizar que sus encargados también cumplan.

¿Podría afectarme en licitaciones, auditorías o revisiones de cumplimiento?

Depende, pero es poco frecuente que se presenten situaciones de este tipo y tal vez en situaciones como:

• Cuando algunas entidades públicas y privadas revisan el historial de tus proveedores como parte de los procesos de evaluación.

• Si no puedes demostrar que hiciste una evaluación previa, que tuviste cláusulas de protección de datos, y que tu proveedor cumplía estándares, tu puntaje puede verse afectado.

• También podría levantar alertas en auditorías internas o de terceros.

Dependerá de situaciones muy específicas, sobre todo de tu relación directa con el incidente o situación que se esté presentando, ya que podría darse el caso que sea mencionado el nombre de tu organización si la situación está directamente relacionada con ella.

• Los clientes, inversionistas o aliados llegan o pueden asociar tu marca con la del proveedor sancionado.

• Las noticias no hacen distinción entre responsables y encargados. y mencionan cosas como "Empresa X fue sancionada por tratamiento indebido de datos de empresa Y”.

¿Qué es recomendable ante este tipo de situaciones?

No se trata de castigar o romper relaciones a la ligera, sino de actuar con cabeza fría y enfoque estratégico. Aquí las acciones clave:

• Haz una evaluación de impacto: revisa si lo que hacía el proveedor sancionado contigo está relacionado con la conducta que originó la sanción.

• Solicita explicaciones y documentación: exige a tu proveedor un informe con claridad sobre qué pasó y cómo lo están corrigiendo, o si la situación te afecta a ti directamente.

• Revisa los contratos y cláusulas de protección de datos: asegúrate de que incluyan mecanismos de auditoría, reportes de cumplimiento y notificación de incidentes.

• Actualiza tu matriz de riesgos: incluye este evento como una posible situación de riesgo para el futuro.

Seguir trabajando con un proveedor sancionado no es un pecado si lo haces con conciencia y responsabilidad. La clave está en demostrar que tomaste las decisiones correctas, hiciste las preguntas difíciles y no ignoraste las señales. Porque en cumplimiento, lo que no se evalúa, se convierte en riesgo. Y lo que se documenta y gestiona bien se convierte en evidencia de una buena gestión.

Adaptado de: https://dataprotected.com.co/blog-proteccion-de-datos/regulaciones-y-normativa/cuando-tu-proveedor-es-sancionado-te-puede-afectar-esto/

Colaboración:

Diego Ospina

Unidad de Cumplimiento