Cumplimiento de la Ley de Protección de Datos Personales (PDPA) de Singapur

Contactar con un experto

Volver a todos los casos de uso

PDPA y gestión de riesgos de terceros

La Ley de Protección de Datos Personalesde Singapur (PDPA) es una ley que regula la recopilación, el uso y la divulgación de los datos personales de las personas. Promulgada por primera vez en 2012 y revisada en 2020, la PDPA reconoce tanto el derecho de las personas a proteger sus datos personales como la necesidad de las organizaciones de recopilar, utilizar y divulgar esos datos para fines razonables.

La PDPA incluye diez obligaciones, una de las cuales, la obligación de protección (artículo 24), se aplica más directamente a la externalización del tratamiento de datos a terceros. Por lo tanto, es fundamental garantizar que los terceros utilicen los controles de seguridad más estrictos al almacenar, gestionar o mantener los datos de los clientes de su organización.

Requisitos pertinentes

  • Tener fines razonables para notificar y obtener el consentimiento para la recopilación, el uso o la divulgación de datos personales.
  • Cuidar los datos personales (lo que implica garantizar su exactitud), protegerlos (incluida su protección en caso de transferencias internacionales) y no conservarlos si ya no son necesarios.
  • Contar con políticas y prácticas para cumplir con la PDPA.
  • Permitir a las personas acceder y corregir sus datos personales.
  • Notificar a la Comisión de Protección de Datos de Singapur y a las personas afectadas sobre las violaciones de datos.

Cumplimiento de los requisitos de la PDPA TPRM para la protección de datos

La tabla resumen que figura a continuación muestra las capacidades de laplataforma de gestión de riesgos de terceros de Prevalenten relación con determinados artículos de la PDPA, sección 24: Obligación de protección.

NOTA: Éste es sólo un resumen de los artículos más relevantes, y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de artículos, por favor revise el documento completo en detalle y consulte a su auditor.

 

Sección PDPA

Cómo ayudamos

Protección de datos personales, artículo 24:

«Una organización debe proteger los datos personales que obran en su poder o bajo su control adoptando medidas de seguridad razonables para impedir:
(a) el acceso, la recopilación, el uso, la divulgación, la copia, la modificación o la eliminación no autorizados, o riesgos similares; y
(b) la pérdida de cualquier medio o dispositivo de almacenamiento en el que se almacenen datos personales».

Directrices consultivas sobre conceptos clave de la PDPA

La obligación de protección de datos, 17.3 c)

«Implementar políticas y procedimientos sólidos para garantizar niveles adecuados de seguridad para los datos personales de distintos niveles de sensibilidad».

Prevalent colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, protección de datos, riesgos y cumplimiento normativo, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de GTRC; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde el abastecimiento y la diligencia debida, hasta la rescisión y la baja- de acuerdo con el apetito de riesgo de su organización.

Prevalent permite a las organizaciones evaluar y supervisar a sus terceros en función del alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificaciónde los riesgos inherentesa todos los terceros. El resultado es una lista por niveles y categorizada de proveedores con una puntuación de riesgo inherente para informar sobre la diligencia debida adicional.

Directrices consultivas sobre conceptos clave de la PDPA

La obligación de protección de datos, 17.3 d)

«Estar preparado y ser capaz de responder a las violaciones de la seguridad de la información de manera rápida y eficaz».

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a la orientación para la corrección. Entre las funciones clave se incluyen:

  • Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
  • Informes proactivos sobre proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
  • Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y determinar los datos en riesgo.

Directrices consultivas sobre conceptos clave de la PDPA

La obligación de protección de datos, 17.4

Además, podría ser útil que las organizaciones realizaran una evaluación de riesgos para determinar si sus medidas de seguridad de la información son adecuadas.

Al hacerlo, se pueden tener en cuenta los siguientes factores:

a) el tamaño de la organización y la cantidad y el tipo de datos personales que posee;
b) quién dentro de la organización tiene acceso a los datos personales; y
c) si los datos personales son o serán conservados o utilizados por un tercero en nombre de la organización.

Prevalent ofrece un programa integral de evaluación de riesgos de protección de datos de terceros que incluye las siguientes capacidades:

Mapeo de datos de descubrimiento y de terceros, cuartos y enésimos
Prevalent ofrece evaluaciones programadas y una capacidad única de mapeo de relaciones para rastrear las transferencias de datos entre relaciones comerciales, identificando dónde existen los datos, hacia dónde fluyen y con quién se comparten fuera de la organización. Los resultados generan automáticamente un registro de riesgos que destaca las áreas clave de riesgo.

Autoevaluaciones
Con Prevalent, las organizaciones pueden realizar una evaluación interna del impacto sobre la privacidad (PIA) centrada en los datos y procesos empresariales más sensibles relacionados con la privacidad y que presentan un mayor riesgo. La PIA evalúa el origen, la naturaleza y la gravedad del riesgo potencial. También ofrece recomendaciones para mitigar los riesgos identificados, garantizando el cumplimiento futuro de las normativas de privacidad.

Evaluaciones de riesgos de proveedores
Prevalent evalúa los controles de privacidad de datos de los proveedores en relación con la PDPA utilizando el Marco de Cumplimiento de Prevalent (PCF) y una encuesta específica sobre la PDPA. El contenido específico del cuestionario ayuda a identificar los riesgos y a asignarlos a los controles para obtener una visión clara de los posibles puntos críticos.

Respuesta ante riesgos
Prevalent automatiza la identificación de riesgos basándose en los umbrales establecidos en la plataforma. Esta capacidad acelera la respuesta con reglas de flujo de trabajo predefinidas que escalan los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas.

Seguimiento e informes de cumplimiento
Prevalent genera informes sobre el cumplimiento de la PDPA utilizando el Marco de Cumplimiento de Prevalent (PCF). El PCF asigna automáticamente los riesgos y las respuestas a los controles, proporciona una calificación porcentual de cumplimiento y genera informes específicos para cada parte interesada con el fin de ofrecer visibilidad sobre la seguridad de los datos.

Supervisión continua de notificaciones de incidentes de violación de datos
Prevalent proporciona acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Incluye tipos y cantidades de datos robados; cuestiones de cumplimiento y normativas; y notificaciones en tiempo real de violaciones de datos de proveedores.

Recursos adicionales

Blog

La APDP y la gestión de riesgos de terceros

Blog

Lista de comprobación del cumplimiento del GDPR para la gestión de riesgos de terceros

Blog

Lista de comprobación del cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con CCPA, GDPR, HIPAA y más

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.