Ha pasado poco más de un año desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) de la UE. Desde entonces, muchas organizaciones han buscado herramientas milagrosas para determinar si sus ecosistemas de terceros protegen suficientemente sus datos y, por lo tanto, su marca y sus beneficios. Sin embargo, muchos responsables de cumplimiento normativo y gestión de riesgos se han encontrado con «trampas» que revelan que las herramientas básicas de gestión de riesgos de terceros no son suficientes cuando se trata del RGPD.
¿Cuál es el problema con las balas de plata?
Todas las organizaciones deben identificar qué controles son más importantes para proteger los datos. Sin embargo, una vez que los datos se eliminan de su entorno, usted depende de los controles implementados por quienes manejan o procesan sus datos. Lamentablemente, muchas organizaciones no cuentan con la experiencia interna ni los fondos necesarios para crear un sistema eficaz de gestión de riesgos de terceros (TPRM) y hacen lo mínimo para evaluar el cumplimiento del RGPD por parte de los proveedores.
En su afán por evitar el escrutinio de los auditores y eludir las sanciones del RGPD, muchos departamentos de privacidad se limitan a exigir a terceros que firmen cartas de certificación del RGPD, dejando en manos de sus proveedores la responsabilidad de descifrar y cumplir el mandato. Otras organizaciones recurren a herramientas de clasificación y puntuación del riesgo de los proveedores para «marcar» los requisitos normativos. Sin embargo, la mayoría de las herramientas de puntuación y clasificación son miopes, no proporcionan datos significativos y pueden impulsar decisiones basadas en lo que está disponible frente a lo que es viable.
Si su programa TPRM se limita a cartas de certificación o herramientas de puntuación y calificación «externas», es posible que sea víctima de las cuatro trampas del RGPD...
Pero primero, un repaso de los componentes clave del RGPD.
Antes de pasar a los puntos clave, pongamos un poco de contexto recordando los componentes principales del RGPD:
- Derechos de las personas:el derecho de las personas a ser informadas y a ser olvidadas.
- Derecho a ser informado:el derecho de las personas a saber quién recopila sus datos personales y con qué finalidad.
- Derecho al olvido:derecho de las personas a solicitar que se eliminen sus datos personales.
- Responsable de protección de datos (DPO): nombramiento de un DPO empresarial para supervisar el cumplimiento normativo de las organizaciones que actúan como encargados del tratamiento o responsables del tratamiento.
- Obligaciones de los encargados del tratamiento de datos:plan de preparación para mayo de 2018 destinado a abordar la responsabilidad de los encargados del tratamiento en relación con las medidas técnicas y organizativas para garantizar la seguridad de los datos personales durante las actividades de tratamiento.
- Evaluación del impacto de la protección de datos y respuesta ante violaciones de datos:obligación del responsable del tratamiento de notificar una violación de datos personales en un plazo de 72 horas.
Las cuatro trampas del RGPD
Con esto, aquí están los «cuatro inconvenientes» que muchas organizaciones no esperaban al planificar la preparación para el RGPD, y cómo evitarlos:
1: La gestión de proveedores es solo un componente del RGPD.
Para garantizar que su programa de riesgos de terceros aborda todos los aspectos del RGPD, confirme que su diligencia debida y sus planes de acción están en consonancia con todo el mandato. La gestión de los proveedores es solo la punta del iceberg. Utilice el cuestionario del RGPD de Prevalent, basado en las normas de evaluación compartidas, para determinar la preparación de los terceros en todos los componentes del RGPD. Hacer que los terceros firmen cartas de certificación es una solución rápida, pero es su responsabilidad supervisar el cumplimiento de los terceros e investigar más a fondo cuando sus controles se consideren desfavorables (o inexistentes).
2: Los proveedores más pequeños suelen pasar desapercibidos en las iniciativas relacionadas con el RGPD.
La mayoría de las organizaciones han identificado proveedores importantes y evidentes, como los proveedores de alojamiento web, pero el RGPD puede afectar a todas las clasificaciones de proveedores. Utilice la plataforma de gestión de riesgos de terceros de Prevalent para clasificar mejor y aplicar la debida diligencia adecuada en todos los niveles de proveedores. La debida diligencia de los proveedores de alojamiento web es un buen comienzo, pero no le ayudará a gestionar todo su universo de proveedores. Prevalent le permite adaptar la recopilación de contenido al RGPD y proporciona registros de riesgos para informar a su delegado de protección de datos (DPO) de lo que se necesita para gestionar el cumplimiento del RGPD por parte de terceros.
3: Las multas y sanciones del RGPD son reales para todos.
Aunque probablemente haya oído hablar de las cuantiosas multas impuestas a Facebook y Uber por incumplimiento del RGPD, ningún sector es inmune. Las organizaciones sanitarias, financieras y minoristas también han recibido multas. La solución de Prevalent determina el grado de preparación para el RGPD no solo de su organización, sino también de sus filiales, subsidiarias y terceros. El Registro de Riesgos de Prevalent evalúa el grado de preparación para el RGPD en todos los niveles de las partes interesadas con el fin de reducir el riesgo de multas por incumplimiento del RGPD.
4: Los procesadores de datos también están siendo multados.
Desde instaladores de CCTV hasta servicios de TI que gestionan información de pacientes, el RGPD impone obligaciones normativas a todos los terceros de su ecosistema. Con Prevalent, puede clasificar fácilmente todas las entidades y generar diagramas de araña que revelan hasta dónde llegan sus flujos de datos y describen el alcance que debe tener la aplicación de los controles del RGPD.
Una visión más completa y precisa del riesgo y el cumplimiento normativo de terceros.
Depende de usted profundizar y ampliar sus evaluaciones de riesgos de terceros para abordar las deficiencias que podrían dar lugar a multas perjudiciales o a conclusiones normativas. Acabo de compartir algunos ejemplos de cómo la plataforma unificada de gestión de riesgos de terceros de Prevalent puede ayudarle a evitar algunos de los escollos del RGPD. En resumen:
- Pregunte a terceros sobre sus controles de privacidad (sorprendente, lo sé) con evaluaciones exhaustivas.
- Valide las evaluaciones con un monitoreo integrado de amenazas externas para obtener una visión más holística y precisa del riesgo y el cumplimiento del RGPD.
- Amplíe con redes de intercambio de información sobre evaluaciones completadas de proveedores para comprender rápidamente el perfil de riesgo de sus terceros.
Descubra cómo Prevalent puede ayudarle a simplificar el proceso de evaluación, validación y corrección de riesgos de terceros, al tiempo que cumple con el RGPD y otras normativas de cumplimiento: solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
