RGPD y gestión de riesgos de terceros
ElReglamento General de Protección de Datos(RGPD) es una ley de privacidad que regula el uso, el movimiento y la protección de los datos recopilados sobre los ciudadanos de la Unión Europea (UE). El RGPD se aplica a cualquier organización que recopile, almacene, procese o transfiera datos personales de personas físicas en Europa, independientemente de la ubicación de la organización. El RGPD impone sanciones de hasta 20 millones de euros o el 4 % de los ingresos globales (lo que sea mayor), además de indemnizaciones por daños y perjuicios a las personas físicas.
Dado que a menudo son terceros los responsables de gestionar los datos personales en nombre de sus clientes, las organizaciones deben prestar especial atención a garantizar que dichos proveedores y socios cuenten con controles y medidas de gobernanza en materia de protección de datos. Esto implica realizar evaluaciones de los controles de privacidad de los datos, analizar los resultados en busca de posibles riesgos y exigir a los terceros que subsanen dichos riesgos para evitar exposiciones normativas, financieras y reputacionales.
De hecho, el RGPD exige a las organizaciones que realicen evaluaciones de riesgos para identificar los riesgos tanto dentro de la organización como con cualquier tercero que tenga acceso a datos personales.El considerando 76, relativo a la evaluación de riesgos,establece que «el riesgo debe evaluarse sobre la base de una evaluación objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado».
Requisitos pertinentes
- Evaluaciones de riesgos de privacidad de datos para todos los terceros que tienen acceso a datos personales.
- Pruebas documentadas que demuestren el cumplimiento.
- Supervisión continuade los riesgos críticos de terceros en materia cibernética, empresarial, reputacional y financiera.
- Funciones de registro de auditoría
Cumplimiento de los requisitos del RGPD en materia de TPRM
Así es como Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros del RGPD:
Requisitos del RGPD
Cómo ayudamos
Artículo 24: Responsabilidad del responsable del tratamiento
Párrafo 1
Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
El artículo 24 hace referencia a dos considerandos a modo de orientación:
Considerando 76: Evaluación de riesgos
La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado deben determinarse teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. El riesgo debe evaluarse sobre la base de una valoración objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado.
Considerando 77: Directrices para la evaluación de riesgos
Orientación sobre la aplicación de medidas adecuadas y sobre la demostración del cumplimiento por parte del responsable o del encargado del tratamiento, especialmente en lo que se refiere a la identificación de los riesgos relacionados con el tratamiento, su evaluación en términos de origen, naturaleza, probabilidad y gravedad, y la identificación de las mejores prácticas para mitigar el riesgo.
Cuando se recurre a terceros como «encargados del tratamiento», es el responsable del tratamiento (propietario) quien tiene la obligación de garantizar que cada tercero cuente con los controles adecuados para asegurar la privacidad y la seguridad de los datos personales.
La plataforma de gestión de riesgos de tercerosde Prevalent automatiza las evaluaciones de riesgos de terceros. Proporciona cuestionarios diseñados específicamente para el RGPD y puntúa los riesgos según su «probabilidad y gravedad», al tiempo que facilita la corrección de conformidad con las directrices del RGPD. Prevalent ofrece una biblioteca con más de 750 plantillas de evaluación estandarizadas, entre las que se incluyen el RGPD y otras normas reglamentarias relacionadas con la privacidad, junto con capacidades de personalización y flujos de trabajo integrados.
Además,el Servicio de Validación de Controlesde Prevalent revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.
Para acelerar las evaluaciones,las redes de inteligencia de proveedoresde Prevalent proporcionan acceso a miles de evaluaciones completadas y verificadas, que se actualizan continuamente y proporcionan pruebas de respaldo.
Artículo 25: Protección de datos desde el diseño y por defecto
Párrafo 1
... el responsable del tratamiento, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento propiamente dicho, aplicará medidas técnicas y organizativas adecuadas, como la seudonimización, diseñadas para aplicar de manera efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
Considerando 78
Medidas técnicas y organizativas adecuadas
Para poder demostrar el cumplimiento del presente Reglamento, el responsable del tratamiento deberá adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y protección de datos por defecto.
Prevalent aporta su experiencia técnica en el diseño de sus encuestas y controles sobre el RGPD, garantizando que no se pasen por alto los detalles de implementación necesarios. Ayuda a las organizaciones a distinguir los sistemas diseñados adecuadamente de las funciones de seguridad y privacidad «añadidas» para garantizar el pleno cumplimiento.
Cuando terceros utilizan cuartos o enésimos para ayudar a procesar datos, Prevalent proporciona visibilidad con mapas detallados de relaciones y registros de auditoría de los flujos de información a lo largo de todo el ecosistema de proveedores.
Artículo 28: Encargado del tratamiento
Párrafo 1
Cuando el tratamiento se realice por cuenta de un responsable del tratamiento, este solo recurrirá a encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas, de tal manera que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
Prevalent ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de terceros y determinar el cumplimiento de los requisitos de seguridad informática, normativos y de privacidad de datos, incluido el RGPD. Proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para mayor eficiencia. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados.
Artículo 28: Encargado del tratamiento
Párrafo 3
Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:
f) ayude al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado del tratamiento.
Prevalent ofrece la única plataforma unificada y diseñada específicamente para la gestión de riesgos de terceros. La plataforma combina evaluaciones automatizadas de terceros y supervisión continua de amenazas para simplificar el cumplimiento normativo, reducir los riesgos de seguridad y mejorar la eficiencia. La plataforma proporciona a los profesionales de la seguridad y el cumplimiento normativo una visión de 360 grados de los riesgos de los procesadores de datos, a través de informes claros y concisos vinculados a normativas y marcos de control específicos, incluido el RGPD, para mejorar la visibilidad y la toma de decisiones.
La plataforma Prevalent permite revisar contratos, lo que ayuda a detectar posibles incumplimientos contractuales y a informar sobre las negociaciones de renovación mediante evaluaciones contractuales específicas.
Artículo 28: Encargado del tratamiento
Párrafo 3
Dicho contrato u otro acto jurídico estipulará, en particular, que el encargado del tratamiento:
(h) ponga a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permita y contribuya a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor designado por este.
La plataforma de gestión de riesgos de terceros más extendida incluye informes eficaces para satisfacer los requisitos de auditoría y cumplimiento, así como para presentar los resultados al consejo de administración y a la alta dirección. El perfil de riesgo completo se puede consultar en una consola de informes centralizada en tiempo real, y los informes se pueden descargar y exportar para determinar el estado de cumplimiento de las disposiciones del RGPD. Las funciones avanzadas de generación de informes incluyen filtros y gráficos interactivos en los que se puede hacer clic. La solución incluye un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida.
El sistemaVendor Threat Monitor(VTM) alerta a las organizaciones sobre cambios adversos en los negocios de terceros y activa evaluaciones específicas para abordar los riesgos inmediatos provisionales. Las alertas tempranas permiten disponer de más tiempo para responder a los incidentes, y las directrices de corrección integradas ayudan a las organizaciones a proteger los datos personales y evitar medidas reglamentarias y daños a la reputación.
Artículo 32: Seguridad del tratamiento
Párrafo 1
El responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluyen:
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento;
(d) un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento.
Considerando 76: Evaluación de riesgos
La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado deben determinarse teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. El riesgo debe evaluarse sobre la base de una valoración objetiva, mediante la cual se determine si las operaciones de tratamiento de datos entrañan un riesgo o un riesgo elevado.
Prevalent ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de terceros y determinar el cumplimiento continuo de los requisitos de seguridad informática, normativos y de privacidad de datos, incluido el RGPD. Emplea cuestionarios estándar y personalizados para ayudar a recopilar pruebas y proporciona flujos de trabajo de corrección bidireccionales, informes en tiempo real y un panel de control fácil de usar para mayor eficiencia. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen y se remitan a los canales adecuados.
Artículo 35: Evaluación del impacto en materia de protección de datos
Párrafo 1
Cuando un tipo de tratamiento, en particular el que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda suponer un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento llevará a cabo, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una única evaluación podrá referirse a un conjunto de operaciones de tratamiento similares que presenten riesgos elevados similares.
Párrafo 7
La evaluación deberá contener, como mínimo:
1) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
2) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;
3) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1; y
4) las medidas previstas para hacer frente a los riesgos, incluidas las salvaguardias, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas afectadas.
Con Prevalent, puede realizar evaluaciones de impacto sobre la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII). Analice el origen, la naturaleza y la gravedad del riesgo y obtenga orientación sobre cómo solucionarlo.
Para las organizaciones que necesitan más recursos, los expertosde los Servicios de evaluación de riesgos de proveedoresde Prevalent pueden encargarse de todo, desde la recopilación y el análisis de riesgos hasta la gestión de informes y correcciones.
Artículo 45: Transferencias basadas en una decisión de adecuación
Párrafo 1
La transferencia de datos personales a un tercer país o a una organización internacional podrá tener lugar cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional en cuestión, garantizan un nivel de protección adecuado.
Párrafo 2
Dicha transferencia no requerirá autorización específica alguna. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:
• el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y el Derecho penal, así como el acceso de las autoridades públicas a los datos personales.
Prevalent apoya el cumplimiento delos criterios ambientales, sociales y de gobernanza(ESG) con capacidades para evaluar a terceros en relación con una serie de temas ESG y correlacionar los resultados con un seguimiento externo continuo de las prácticas de los proveedores. Esto incluye la gestión del medio ambiente, la diversidad y la inclusión, los derechos humanos (por ejemplo, la lucha contra la esclavitud), las normas laborales, las estrategias financieras y fiscales, y la transparencia operativa general.
Además, Prevalent incluye la supervisión de notificaciones de incidentes de seguridad, que proporciona acceso a una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Esto incluye los tipos y cantidades de datos robados; cuestiones de cumplimiento normativo y regulatorio; y notificaciones en tiempo real de violaciones de datos de proveedores para ayudar a determinar la postura de las empresas a las que está considerando transferir datos.
