Lista de comprobación del cumplimiento del GDPR para la gestión de riesgos de terceros

Mitigue los riesgos de privacidad y cumpla con los requisitos del RGPD evaluando los controles de protección de datos de terceros con estas medidas proactivas.

Imagen decorativa

Promulgada originalmente en mayo de 2018, el Reglamento General de Protección de Datos (RGPD) es una ley de privacidad que regula el uso, el movimiento y la protección de los datos recopilados sobre los ciudadanos de la Unión Europea (UE). El RGPD se aplica a cualquier organización que recopile, almacene, procese o transfiera datos personales de personas en Europa, independientemente de la ubicación de la organización.

Por qué es importante la gestión de riesgos de terceros en el RGPD

Dado que a menudo son terceros los responsables de gestionar los datos personales en nombre de sus clientes, las organizaciones deben prestar especial atención a garantizar que dichos proveedores y socios cuenten con controles y medidas de gobernanza en materia de protección de datos. Esto implica realizar evaluaciones de los controles de privacidad de los datos, analizar los resultados en busca de posibles riesgos y exigir a los terceros que subsanen dichos riesgos para evitar exposiciones normativas, financieras y reputacionales.

La UE aplica de forma agresiva el RGPD, con varias sanciones notables impuestas a empresas con fallos de terceros, entre las que se incluyen:

  • El organismo regulador de Luxemburgo multó a Amazon con 746 millones de euros por infringir el RGPD, alegando que el sistema publicitario de Amazon no se basa en el «consentimiento libre».
  • A principios de 2021, la autoridad francesa de protección de datos multó a un responsable del tratamiento de datos no identificado con 150 000 euros y a su responsable del tratamiento de datos externo con 75 000 euros por no haber aplicado las medidas de seguridad adecuadas.
  • La Autoridad de Protección de Datos de Hamburgo (Alemania) multó a la cadena minorista de ropa H&M con más de 35 millones de euros por «vigilar de forma excesiva a varios cientos de empleados».
  • Google fue multada con 50 millones de euros por las autoridades francesas de protección de datos por «falta de transparencia, información inadecuada y falta de consentimiento válido en relación con la personalización de los anuncios».
  • La Oficina del Comisionado de Información del Reino Unido multó a British Airways con 20 millones de libras esterlinas en 2018 por no proteger los datos personales y financieros
    de 400 000 clientes.

Esta publicación resume por qué las organizaciones deben preocuparse por el RGPD y cómo pueden evaluar sus procesos internos y sus relaciones con terceros en función de los requisitos del RGPD.

Las evaluaciones de riesgos de terceros son obligatorias en virtud del RGPD.

Para protegerse frente a los riesgos, el RGPD exige a las organizaciones que realicen evaluaciones de riesgos para identificar los riesgos tanto dentro de la organización como con cualquier tercero que tenga acceso a datos personales. El considerando 76
– Evaluación de riesgos – establece que«el riesgo debe evaluarse sobre la base de una evaluación objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado».

Las organizaciones sujetas a la normativa del RGPD deben garantizar que tanto ellas como sus terceros protejan la privacidad de cualquier información personal recopilada y/o procesada. Esto significa llevar a cabo una evaluación exhaustiva de los riesgos presentes en cada tercero y garantizar que se apliquen los controles adecuados para mitigar el riesgo.

Lista de verificación: Requisitos del RGPD para evaluar los controles de los encargados del tratamiento de datos
El RGPD consta de dos componentes: 99 artículos y 173 considerandos. Los artículos describen los requisitos legales que deben cumplir las organizaciones para demostrar su conformidad. Los considerandos proporcionan un contexto de apoyo que complementa los artículos. La siguiente tabla resume los artículos y considerandos relevantes para la evaluación de riesgos de terceros y las directrices. Para obtener una descripción completa de los requisitos del RGPD, descargue la lista de verificación de conformidad.
Requisitos del RGPD Qué significa
Artículo 24: Responsabilidad del responsable del tratamiento

Párrafo 1

Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

El artículo 24 hace referencia a dos considerandos a modo de orientación:

Considerando 76: Evaluación de riesgos

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado deben determinarse teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. El riesgo debe evaluarse sobre la base de una valoración objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado.

Considerando 77: Directrices para la evaluación de riesgos

Orientación sobre la aplicación de medidas adecuadas y sobre la demostración del cumplimiento por parte del responsable o del encargado del tratamiento, especialmente en lo que se refiere a la identificación de los riesgos relacionados con el tratamiento, su evaluación en términos de origen, naturaleza, probabilidad y gravedad, y la identificación de las mejores prácticas para mitigar el riesgo.

Cuando se recurre a terceros como «encargados del tratamiento», es el responsable del tratamiento (propietario) quien tiene la obligación de garantizar que cada tercero cuente con los controles adecuados para asegurar la privacidad y la seguridad de los datos personales.

Intentar realizar evaluaciones de terceros utilizando cuestionarios manuales y hojas de cálculo es inconsistente e inviable. En caso de auditoría, la capacidad de «demostrar que el tratamiento se realiza de conformidad» con el RGPD puede resultar difícil. Las evaluaciones manuales pueden dar lugar a requisitos omitidos y respuestas mal formuladas o incompletas. Para cumplir los requisitos del RGPD, las evaluaciones deben ser objetivas y la puntuación debe ser coherente.

Artículo 25: Protección de datos desde el diseño y por defecto

Párrafo 1

... el responsable del tratamiento, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento propiamente dicho, aplicará medidas técnicas y organizativas adecuadas, como la seudonimización, diseñadas para aplicar de manera efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

Considerando 78

Medidas técnicas y organizativas adecuadas
Para poder demostrar el cumplimiento del presente Reglamento, el responsable del tratamiento deberá adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y protección de datos por defecto.

El cumplimiento del RGPD requiere un profundo conocimiento técnico del tratamiento de datos, la gobernanza de datos y los controles. Si bien la mayoría de las encuestas de evaluación de riesgos se centran en controles y políticas generales, el RGPD exige un tratamiento especial de la información personal, incluyendo la seudonimización, la minimización de datos y (según el considerando 78) la protección de datos «desde el diseño y por defecto».
Artículo 28: Encargado del tratamiento

Párrafo 1

Cuando el tratamiento se realice por cuenta de un responsable del tratamiento, este solo recurrirá a encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas, de tal manera que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Las organizaciones suelen trabajar con docenas de terceros que tienen acceso a información personal cubierta por el RGPD. Algunos ejemplos son los socios publicitarios, los procesadores de datos (incluidas las aplicaciones en la nube) y los proveedores de alojamiento en la nube.

El cumplimiento del RGPD requiere algo más que simples acuerdos con los proveedores. Requiere comprender cómo se utilizan los datos, cómo se transmiten y demostrar que se aplican controles específicos para proteger los datos personales.

Artículo 28: Encargado del tratamiento

Párrafo 3

Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:

f) ayude al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado del tratamiento.

Los artículos 32 a 36 establecen los requisitos para la realización de una evaluación del impacto en la protección de datos, junto con la supervisión continua de los encargados del tratamiento de datos críticos (terceros). Cada relación con un encargado del tratamiento «se regirá por un contrato u otro acto jurídico» que obligue al encargado del tratamiento a proteger la información personal. La evaluación de riesgos requerida tiene por objeto identificar los riesgos para la información personal y garantizar que el encargado del tratamiento disponga de los controles adecuados.
Artículo 28: Encargado del tratamiento

Párrafo 3

Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:

(h) ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permita y contribuya a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor designado por este.

Asegúrese de mantener un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida.
Artículo 32: Seguridad del tratamiento

Párrafo 1

El responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluyen:

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento;

(d) un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento.

Considerando 76: Evaluación de riesgos

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado deben determinarse teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. El riesgo debe evaluarse sobre la base de una valoración objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado.

Aunque las evaluaciones suelen considerarse un ejercicio de incorporación, el RGPD y otras normas reglamentarias exigen un cumplimiento continuo. Gestionar una única revisión de cumplimiento puede resultar complicado si se utilizan procesos manuales. Aún más difícil es saber cuándo las circunstancias justifican una actualización periódica de decenas o cientos de terceros en todo el mundo.
Artículo 35: Evaluación del impacto en materia de protección de datos

Párrafo 1

Cuando un tipo de tratamiento, en particular el que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda suponer un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento llevará a cabo, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una única evaluación podrá referirse a un conjunto de operaciones de tratamiento similares que presenten riesgos elevados similares.

Párrafo 7

La evaluación deberá contener, como mínimo:

1) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

2) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;

3) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1; y

4) las medidas previstas para hacer frente a los riesgos, incluidas las salvaguardias, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas afectadas.

La tecnología evoluciona a diario y las nuevas ofertas de servicios pueden proporcionar un mayor valor comercial. El RGPD deja claro que, antes de adoptar nuevas formas de tratar los datos personales, las organizaciones deben evaluar el impacto de esas operaciones en los datos.
Artículo 45: Transferencias basadas en una decisión de adecuación

Párrafo 1

La transferencia de datos personales a un tercer país o a una organización internacional podrá tener lugar cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional en cuestión, garantizan un nivel de protección adecuado.

Párrafo 2

Dicha transferencia no requerirá autorización específica alguna. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:

• el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y el Derecho penal, así como el acceso de las autoridades públicas a los datos personales.

Cada vez más, los consejos de administración, los inversores y los clientes quieren asegurarse de que las organizaciones y sus socios y proveedores comparten valores y compromisos comunes. El RGPD recoge esto en su artículo 45, que exige que se tengan en cuenta los derechos humanos y el estado de derecho al transferir información personal.

 

Cómo Prevalent ayuda a cumplir los requisitos del RGPD en materia de riesgos de terceros

La plataforma de gestión de riesgos de terceros Prevalent incluye funciones integradas para evaluar los riesgos internos y externos para los datos de los consumidores, automatizar la corrección de los hallazgos e informar a los reguladores sobre los avances. Prevalent:

  • Ofrece un cuestionario específico sobre el RGPD en la Plataforma, en el que se pregunta al proveedor sobre las medidas técnicas y organizativas que ha adoptado para proteger los derechos del interesado, de conformidad con el artículo 28, apartado 1.
  • Proporciona a los responsables del tratamiento de datos una visión completa de los riesgos que entraña el encargado del tratamiento mediante informes claros y concisos sobre los fallos de control, junto con las medidas correctivas recomendadas, de conformidad con el artículo 28, apartado 3.
  • Centraliza el perfil de riesgo de un procesador de datos, lo que permite una auditoría exhaustiva de los procesos exigidos por el responsable del tratamiento de datos, de conformidad con el artículo 28, apartado 3.
  • Realiza evaluaciones periódicas o secundarias continuas para supervisar de forma constante las medidas técnicas y organizativas adoptadas por el encargado del tratamiento de datos, con el fin de garantizar un nivel de seguridad adecuado al riesgo, por ejemplo, comprobando, evaluando y valorando periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, de conformidad con el artículo 32, apartado 1.

Para obtener más información sobre cómo Prevalent puede ayudar a las organizaciones a evaluar sus controles de protección de datos de terceros para cumplir con los requisitos del RGPD, lea la Lista de verificación de cumplimiento del RGPD para terceros o solicite una demostración hoy mismo. Para saber cómo se aplica la gestión de riesgos de terceros a más de 20 normativas diferentes, descargue el Manual de cumplimiento de la gestión de riesgos de terceros.

 


Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.