Cumplimiento de proveedores: Normativa clave a tener en cuenta en su programa de gestión de riesgos laborales

Las organizaciones son cada vez más responsables del cumplimiento normativo en sus cadenas de suministro. Asegúrese de revisar estas normativas como parte de su programa de gestión de riesgos de proveedores.

Personal de Mitratech
Personal de Mitratech Julio 25, 2024 14 minutos de lectura
Decorative image

Comprender el impacto de las regulaciones industriales y gubernamentales en su cadena de suministro es esencial para reducir el riesgo para su negocio y proporcionar garantías a sus clientes. Este artículo analiza varios requisitos de cumplimiento que debe tener en cuenta como parte de su programa más amplio de gestión de riesgos de proveedores.

Aunque las empresas llevan años sujetas a normativas sobre seguridad de la información y privacidad de datos, recientemente se han introducido varios mandatos para aumentar su enfoque en las relaciones con los proveedores. Al mismo tiempo, estamos asistiendo a la introducción de requisitos de cumplimiento ESG con importantes implicaciones para las cadenas de suministro. En este artículo, abordaremos las categorías de requisitos de cumplimiento de los proveedores, revisaremos las normativas clave que abordan directamente el riesgo de los proveedores y analizaremos cómo influyen en su programa de SRM.

¿Qué tipos de requisitos de cumplimiento se aplican a los proveedores?

Se aplican tres tipos principales de requisitos de cumplimiento a los proveedores externos:

  • Requisitos de seguridad de la información, como HIPAA
    y CMMC.
  • Requisitos de cumplimiento ESG, como la Ley contra la esclavitud moderna del Reino Unido y la Directiva de la UE sobre la diligencia debida de las empresas.
  • Requisitos de privacidad de datos, como el RGPD y la CCPA.

Seguridad de la información de los proveedores

No es ningún secreto que el cumplimiento de las normas de seguridad de la información es un factor fundamental a la hora de trabajar con empresas de software, proveedores de servicios SaaS y otros proveedores de TI. Sin embargo, es fundamental garantizar que sus proveedores no relacionados con la TI también incorporen las normas de seguridad de la información en sus prácticas comerciales.

Cualquier proveedor puede suponer un riesgo de violación de datos si tiene acceso a la información confidencial, los sistemas o las instalaciones de su organización. Considere los siguientes ejemplos:

  • Nombres y datos de clientes que están sujetos a acuerdos de confidencialidad y que podrían causar daños reputacionales y financieros si se hicieran públicos.
  • Información de identificación personal (PII) o información médica protegida (PHI) de clientes, empleados o incluso otros proveedores.
  • Acceso físico o virtual a sistemas, como un proveedor contratado para mantener o actualizar equipos industriales.

Proveedor ESG

Las prácticas ambientales, sociales y de gobernanza (ESG) en la cadena de suministro son cada vez más importantes para muchas organizaciones. Varios países están estableciendo normativas que exigen a las organizaciones llevar a cabo de forma proactiva la debida diligencia en materia de ESG en todas sus cadenas de suministro. Entre los ejemplos de cuestiones ESG que afectan a las cadenas de suministro se incluyen:

  • Trabajo forzoso, esclavitud moderna y otros abusos contra los derechos humanos por parte de empresas de extracción de minerales, fabricantes y otros proveedores que dependen del trabajo pesado.
  • La degradación medioambiental, como los altos niveles de emisiones de gases de efecto invernadero, la destrucción de selvas tropicales y otros ecosistemas, o la invasión de tierras pertenecientes a pueblos indígenas.
  • Cuestiones relacionadas con el soborno y la corrupción en proveedores de terceros, cuartos y enésimos afiliados a gobiernos con antecedentes de abusos.

Privacidad de los datos de los proveedores

La privacidad de los datos también es una preocupación importante cuando se trabaja con proveedores. Normativas como el Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) y la Ley SHIELD de Nueva York establecen normas sobre cómo se pueden adquirir, procesar y compartir los datos de los consumidores. Las preocupaciones sobre la privacidad de los datos de los proveedores pueden surgir en situaciones como las siguientes:

  • Compartir o vender datos de clientes sin consentimiento previo.
  • No auditar a los proveedores que tienen acceso físico o virtual a datos personales.
  • Utilizar proveedores que no cuentan con controles adecuados para proteger la información de identificación personal (PII), la información médica protegida (PHI) y otros datos confidenciales.

Requisitos de seguridad de la información para proveedores

Incluso los proveedores ajenos al sector de las tecnologías de la información pueden tener acceso a información personal identificable, información médica protegida, propiedad intelectual u otra información confidencial que podría suponer un riesgo para el cumplimiento normativo de su organización. A continuación se indican algunos requisitos importantes en materia de seguridad de la información que deben tenerse en cuenta al trabajar con proveedores:

HIPAA para proveedores

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) exige a las organizaciones que implementen controles de seguridad de la información que protejan la información médica protegida (PHI) de los pacientes. Los requisitos de la HIPAA rigen varios tipos de organizaciones, incluidos los proveedores de atención médica, los proveedores de planes de salud y los centros de intercambio de información médica.

Según la Norma de Asociados Comerciales de la HIPAA, los proveedores y distribuidores externos que almacenan o procesan información médica protegida (PHI) también están sujetos a la supervisión de la HIPAA. Aunque los asociados comerciales de la HIPAA suelen ser proveedores de TI, no siempre es así. Los asociados comerciales también pueden incluir proveedores como:

  • Consultores que tramitan reclamaciones sanitarias.
  • Proveedores que realizan revisiones de utilización y eficiencia para un hospital.
  • Transcriptores médicos

¿Qué proveedores deben cumplir con la HIPAA?

La Norma sobre Asociados Comerciales de la HIPAA se aplica a cualquier tercero que almacene o procese información médica protegida (PHI). Según el Departamento de Salud y Servicios Humanos, un asociado comercial es «una persona o entidad que realiza determinadas funciones o actividades que implican el uso o la divulgación de información médica protegida en nombre de una entidad cubierta, o que presta servicios a dicha entidad».

CMMC para proveedores

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco creado por el Departamento de Defensa de los Estados Unidos (DoD) para mejorar la seguridad de su cadena de suministro, conocida como Base Industrial de Defensa (DIB).

En virtud del CMMC 2.0, las organizaciones que deseen trabajar con el Departamento de Defensa deberán cumplir normas específicas de seguridad de la información y obtener la certificación de uno de los tres niveles del CMMC, en función del tipo de datos que manejen y del alcance de su acceso a información clasificada:

  • Nivel 1: Este nivel es para proveedores que gestionan información sobre contratos federales (FCI), que no es crítica para la seguridad nacional y requiere autoevaluaciones con respecto a 17 controles.
  • Nivel 2: Los proveedores que manejan información controlada no clasificada (CUI) se incluyen en el nivel 2 y deberán obtener la certificación de 110 controles adicionales de la norma NIST SP 800-171. Aunque algunos proveedores pueden realizar autoevaluaciones en este nivel, la mayoría necesitará evaluaciones de organizaciones de auditoría externas certificadas (C3PAO).
  • Nivel 3: Este es un nivel experto para los proveedores del Departamento de Defensa con la máxima prioridad. Además de los controles requeridos para el Nivel 2, este nivel implica un subconjunto de controles NIST SP 800-172. El gobierno federal llevará a cabo las auditorías para los proveedores de Nivel 3.

¿Qué proveedores deben cumplir con el CMMC?

El CMMC se aplicará a todos los contratistas principales, subcontratistas y proveedores del Departamento de Defensa que formen parte de la cadena de suministro del Departamento de Defensa. El Departamento de Defensa prevé que más de 300 000 organizaciones se verán afectadas por la normativa del CMMC. Las organizaciones que no cumplan con el CMMC pueden perder la capacidad de licitar en contratos con el Departamento de Defensa de los Estados Unidos. La reglamentación definitiva del CMMC 2.0 está en curso, y su implementación por fases está prevista para finales de este año y hasta 2025.

NIST para proveedores

El Instituto Nacional de Estándares y Tecnología (NIST) publica marcos de ciberseguridad que contienen las mejores prácticas para crear programas eficaces de seguridad de la información. Todas las agencias federales de EE. UU., los contratistas y los subcontratistas que trabajan con agencias federales deben cumplir con los mandatos de seguridad del NIST.

Los documentos del NIST no son legalmente vinculantes, pero varias normativas se basan en los controles y estándares del NIST. Muchas organizaciones públicas y privadas exigen certificaciones de terceros basadas en las directrices del NIST. Varias publicaciones especiales del NIST describen los controles que exigen a las organizaciones establecer e implementar procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro. Entre ellos se incluyen:

  • SP 800-53 Rev. 5: Controles de seguridad y privacidad para sistemas de información y organizaciones
  • SP 800-161 Rev. 1: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones
  • Marco de ciberseguridad v2.0: Marco para mejorar la ciberseguridad de las infraestructuras críticas

¿Qué requisitos del NIST se aplican a las relaciones con los proveedores?

Los requisitos del NIST relacionados con los proveedores externos incluyen:

  • Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
  • Supervisar los controles de seguridad para determinar su eficacia de forma continua.
  • Determinar los requisitos de ciberseguridad para los proveedores
  • Promulgar requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos).
  • Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.
  • Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.

El NIST no es un organismo regulador, por lo que no existen sanciones legales directas por incumplimiento, a menos que lo exijan normativas como la HIPAA, que utiliza la norma NIST SP 800-66. Sin embargo, si su organización trabaja con agencias gubernamentales de EE. UU., es necesario cumplir con las normas del NIST. El incumplimiento de las normas del NIST por parte de terceros proveedores puede suponer riesgos y perjudicar las relaciones con los clientes.

Requisitos de cumplimiento ESG para proveedores

Las normativas diseñadas para abordar las cuestiones medioambientales, sociales y de gobernanza (ESG) exigen cada vez más a las organizaciones que identifiquen y aborden de forma proactiva los problemas ESG en sus cadenas de suministro ampliadas.

Las primeras normativas ESG, como la Ley contra la esclavitud moderna del Reino Unido y la Ley de transparencia en las cadenas de suministro de California (CTSCA), exigen principalmente a las organizaciones que informen sobre sus esfuerzos para mitigar las prácticas poco éticas en sus cadenas de suministro. Sin embargo, las normativas ESG más recientes y estrictas exigen medidas como la realización de auditorías rutinarias de las prácticas ESG de los proveedores, la rescisión de los contratos con proveedores poco éticos y la supervisión proactiva de las cadenas de suministro para detectar posibles riesgos ESG.

Los requisitos de cumplimiento de ESG se dividen en dos categorías principales:

  1. Requisitos de divulgación, que obligan a las organizaciones a informar sobre las medidas adoptadas para abordar las cuestiones ESG en sus cadenas de suministro.
  2. Requisitos de diligencia debida y control, que exigen a las organizaciones evaluar las prácticas ESG de los proveedores y garantizar que estos implementen controles relacionados con ESG.

Las normativas ESG existentes y futuras para su programa de gestión de riesgos de proveedores incluyen la Ley canadiense contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro, la Ley británica contra la esclavitud moderna, la Ley alemana de diligencia debida en la cadena de suministro y la Directiva de la UE sobre la diligencia debida en materia de sostenibilidad empresarial.

Ley contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro (S-211)

La Ley contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro, también conocida como S-211, es una ley que exige a las instituciones gubernamentales canadienses y a determinadas entidades del sector privado «informar sobre las medidas adoptadas para prevenir y reducir el riesgo de que se utilice el trabajo forzoso o el trabajo infantil por parte de ellas o en sus cadenas de suministro». La ley también establece un régimen de inspección para hacer cumplir sus disposiciones. Al igual que la Ley contra la esclavitud moderna del Reino Unido, la Ley contra la esclavitud de Australia y otras leyes similares, la ley tiene por objeto contribuir a la lucha mundial contra el trabajo forzoso, el trabajo infantil y otras formas de esclavitud moderna.

¿Quién debe cumplir con la Ley de lucha contra el trabajo forzoso?

Todas las organizaciones gubernamentales canadienses que producen, compran o distribuyen bienes en Canadá deben cumplir con la Ley. Además, las entidades comerciales deben cumplirla si: a) cotizan en una bolsa de valores de Canadá, o b) operan en Canadá y tienen activos en el país por un valor mínimo de 20 millones de dólares, generan ingresos por un mínimo de 40 millones de dólares y emplean a una media de al menos 250 trabajadores.

La Ley contra la esclavitud moderna del Reino Unido

La Ley contra la esclavitud moderna de 2015 es una ley del Reino Unido que exige a las organizaciones comunicar públicamente sus prácticas para garantizar que no se produzcan casos de trabajo forzoso, trata de personas y otras formas de servidumbre involuntaria en sus negocios o cadenas de suministro.

La sección «Transparencia en las cadenas de suministro» de la Ley (Parte 6, Sección 54) define qué información deben divulgar las organizaciones, incluyendo:

  • estructura organizativa, incluida información sobre su negocio y sus cadenas de suministro
  • políticas corporativas que abordan la esclavitud y la trata de personas
  • procesos de diligencia debida para detectar posibles casos de esclavitud y trata de personas en su negocio y cadenas de suministro
  • áreas específicas de negocio en las que existe riesgo de que se produzcan casos de esclavitud y trata de personas, y las medidas que ha adoptado para evaluar y gestionar ese riesgo.
  • rendimiento a la hora de garantizar que no se produzcan casos de esclavitud y trata de personas en su negocio o en sus cadenas de suministro
  • Información sobre la formación del personal en temas relacionados con la esclavitud y la trata de personas.

¿Quién debe cumplir con la Ley contra la esclavitud moderna del Reino Unido?

La Ley contra la esclavitud moderna del Reino Unido se aplica a las organizaciones que operan en el Reino Unido con ventas anuales de 36 millones de libras esterlinas o más.

La Ley alemana sobre la diligencia debida en la cadena de suministro

La Ley alemana de diligencia debida en la cadena de suministro obliga a las organizaciones a aplicar la diligencia debida en materia de derechos humanos en sus cadenas de suministro. Esta ley exige a las empresas que adopten todas las medidas necesarias para prevenir los riesgos relacionados con los derechos humanos, informen sobre sus esfuerzos, remedien los riesgos y conserven la documentación durante siete años.

Las empresas afectadas deben actualizar sus procesos de diligencia debida en la cadena de suministro y ajustar sus actividades a las disposiciones de la Ley, que abarcan las siguientes áreas:

  • Daño medioambiental
  • Salarios mínimos
  • Trabajo infantil y trabajo forzoso
  • Confiscación ilegal de tierras y aguas
  • Tortura
  • Discriminación
  • Libertad de asociación
  • Empleo y condiciones laborales problemáticos
  • Salud y seguridad en el trabajo

¿Quién debe cumplir con la Ley alemana de diligencia debida en la cadena de suministro?

A partir de 2023, todas las empresas que operen en Alemania con al menos 3000 empleados estarán sujetas a la Ley alemana de diligencia debida en la cadena de suministro. En 2024, la ley se ampliará a las empresas con más de 1000 empleados.

La Directiva de la UE sobre la diligencia debida en materia de sostenibilidad empresarial

La Directiva sobre la diligencia debida en materia de sostenibilidad empresarial, o CSDDD, establece obligaciones específicas para que las empresas actúen con la debida diligencia en sus operaciones y cadenas de suministro con el fin de identificar, prevenir, mitigar y rendir cuentas por los impactos adversos sobre el medio ambiente, el trabajo y los derechos humanos. El Parlamento Europeo publicó el borrador final en enero de 2024. Si se aprueba, la ley entrará en vigor por fases a partir de 2027.

Si se promulga la ley, las organizaciones estarán obligadas a:

  • Integrar la diligencia debida en materia de ESG en las políticas corporativas.
  • Identificar los impactos adversos reales o potenciales sobre los derechos humanos y el medio ambiente.
  • Prevenir o mitigar los posibles impactos.
  • Eliminar o minimizar los impactos reales.
  • Establecer y mantener un procedimiento de reclamaciones.
  • Supervisar la eficacia de la política y las medidas de diligencia debida.
  • Informar públicamente sobre las actividades de diligencia debida.

¿Quién debe cumplir con la Directiva sobre la diligencia debida en materia de sostenibilidad empresarial?

Si se aprueba, las normas de la Directiva sobre la diligencia debida en materia de sostenibilidad empresarial se aplicarán a las empresas de la UE y a las empresas matrices con más de 500 empleados y una facturación mundial superior a 150 millones de euros. Las obligaciones se aplicarán a las empresas con más de 250 trabajadores y una facturación superior a 40 millones de euros si generan al menos 20 millones de euros en uno de los siguientes sectores:

  • Fabricación y comercio al por mayor de textiles, prendas de vestir y calzado.
  • Agricultura, incluida la silvicultura y la pesca
  • Fabricación de alimentos y comercio de materias primas agrícolas
  • Extracción y comercio mayorista de recursos minerales o fabricación de productos relacionados.
  • Construcción

Requisitos de privacidad de datos para proveedores

Los requisitos de privacidad de datos son otra preocupación fundamental para las organizaciones que trabajan con proveedores externos. Normativas como el RGPD y la CCPA limitan la forma en que se pueden compartir, almacenar y procesar los datos personales entre empresas, y se imponen multas importantes por incumplimiento de la normativa.

RGPD para proveedores

El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad que regula el uso, el movimiento y la protección de los datos recopilados sobre los ciudadanos de la Unión Europea (UE). El RGPD se aplica a cualquier organización que recopile, almacene, procese o transfiera datos personales de personas en Europa, independientemente de su ubicación.

Dado que a menudo son terceros los responsables de gestionar los datos personales en nombre de sus clientes, las organizaciones deben asegurarse de que sus proveedores y vendedores cuentan con controles y medidas de gobernanza en materia de protección de datos. Este proceso implica realizar evaluaciones de control de la privacidad de los datos, analizar los resultados en busca de posibles riesgos y exigir a los terceros que subsanen dichos riesgos para evitar exposiciones normativas, financieras y reputacionales.

De hecho, el RGPD exige a las organizaciones que realicen evaluaciones de riesgos para identificar los riesgos para la privacidad, tanto a nivel interno como en terceros que manejan, procesan o almacenan datos personales en nombre de la organización. El considerando 76, «Evaluación de riesgos», establece que «el riesgo debe evaluarse sobre la base de una evaluación objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado».

¿Quién debe cumplir con el RGPD?

El RGPD se aplica a cualquier organización que almacene o procese datos pertenecientes a residentes de la Unión Europea.

CCPA para proveedores

La Ley de Privacidad del Consumidor de California regula la recopilación y venta de datos de consumidores por parte de las empresas con el fin de proteger la información personal confidencial de los residentes de California y proporcionar a los consumidores control sobre cómo las empresas utilizan dicha información.

La CCPA se aplica a los datos de los consumidores recopilados de cualquier residente de California, ya sea por una empresa con sede en ese estado o que simplemente opera allí. Las organizaciones deben supervisar a los proveedores que tienen acceso a datos pertenecientes a residentes de California y aplicar medidas proactivas para garantizar que los datos sujetos a la CCPA se traten adecuadamente.

La CCPA se amplió en 2023 con la Ley de Derechos de Privacidad de California (CPRA), que añadió nuevas obligaciones de cumplimiento que exigen acuerdos estrictos con terceros para garantizar la recopilación, el uso y la eliminación seguros de la información de los consumidores.

¿Quién debe cumplir con la CCPA?

La CCPA se aplica a las empresas que recopilan información personal de residentes de California, proveedores de servicios y terceros a los que las empresas transfieren dicha información. Aunque la CCPA es una ley estatal, se aplica a cualquier entidad con fines lucrativos, en cualquier lugar, que haga negocios con consumidores de California y:

  • Tiene unos ingresos brutos anuales superiores a 25 millones de dólares;
  • Compra, recibe o vende la información personal de 50 000 o más residentes, hogares o dispositivos de California; o
  • Obtenga el 50 % o más de sus ingresos anuales de la venta de información personal de residentes de California.

Próximos pasos: Automatizar la gestión del cumplimiento normativo de los proveedores

El entorno actual de riesgos de terceros es complejo y está en constante evolución. Por lo tanto, su programa de gestión de riesgos de proveedores debe ser capaz de cumplir con los requisitos normativos y garantizar la resiliencia empresarial en toda su cadena de suministro.

Con la solución de gestión de riesgos de proveedores de Prevalent, puede automatizar sus actividades de evaluación, supervisión, análisis y generación de informes de riesgos de proveedores con una única plataforma unificada. Al mismo tiempo, obtiene cobertura integrada para docenas de normativas de cumplimiento y marcos de buenas prácticas. Descubra cómo puede optimizar el cumplimiento de los riesgos de sus proveedores. Solicite una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.