La PDPA y la gestión de riesgos de terceros

La Ley de Protección de Datos Personales de Singapur (PDPA) establece directrices para garantizar la seguridad y la protección de los datos de terceros. Revisamos los requisitos clave de la PDPA y compartimos las mejores prácticas para simplificar el proceso de cumplimiento.

Personal de Mitratech
Personal de Mitratech 29 de marzo de 2023 7 min leer
Decorative image

La Ley de Protección de Datos Personales (PDPA) es una ley de Singapur que regula la recopilación, el uso y la divulgación de los datos personales de los individuos. En esta publicación se analizan las consideraciones importantes de terceros en la PDPA y se identifican las capacidades críticas para abordar los requisitos.

Acerca de la Ley de Protección de Datos Personales

Promulgada por primera vez en 2012 y revisada en 2020, la PDPA reconoce tanto el derecho de las personas a proteger sus datos personales como la necesidad de las organizaciones de recopilar, utilizar y divulgar esos datos para fines razonables. Eso significa que las organizaciones deben colaborar con sus terceros encargados del tratamiento de datos para garantizar que cuentan con prácticas sólidas de protección de datos. El incumplimiento de las disposiciones de la PDPA podría dar lugar a una sanción económica del 10 % de la facturación anual de la organización o de hasta un millón de dólares singapurenses, lo que sea mayor.

Con el fin de proporcionar directrices a las organizaciones con clientes en Singapur, la PDPA incluye «Disposiciones sobre protección de datos» que abordan:

  • Tener fines razonables, notificar los fines y obtener el consentimiento para la recopilación, el uso o la divulgación de datos personales.
  • Permitir a las personas acceder y corregir sus datos personales.
  • Cuidar los datos personales (lo que implica garantizar su exactitud), protegerlos (incluida su protección en caso de transferencias internacionales) y no conservarlos si ya no son necesarios.
  • Notificar a la Comisión de Protección de Datos de Singapur y a las personas afectadas las violaciones de datos.
  • Contar con políticas y prácticas que cumplan con la PDPA.

La PDPA incluye diez obligaciones, una de las cuales, la obligación de protección (artículo 24), se aplica más directamente a la externalización del tratamiento de datos a terceros. Sin embargo, la PDPA no exige procesos o tecnologías específicos para abordar la protección de datos de terceros. En su lugar, publicó las Directrices consultivas sobre conceptos clave de la PDPA (revisadas el 17 de mayo de 2022), que permiten a las organizaciones flexibilidad a la hora de aplicar los controles de protección de datos adecuados.

Directrices consultivas sobre conceptos clave de la PDPA: cómo cumplir los requisitos de TPRM

Es fundamental garantizar que los terceros utilicen los controles de seguridad más estrictos al almacenar, gestionar o mantener los datos de los clientes de su organización. En esta sección se describen las mejores prácticas para seleccionar artículos de la PDPA que ayuden a sus equipos de privacidad de datos a garantizar que los terceros cumplan con las obligaciones de protección de datos.

NOTA: Este es solo un resumen de los artículos más relevantes y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de los artículos, revise el documento completo en detalle y consulte a su auditor.

La obligación de protección de datos, 17.3 c)

La PDPA exige a las organizaciones «implementar políticas y procedimientos sólidos para garantizar niveles adecuados de seguridad para los datos personales de distintos niveles de sensibilidad».

Para abordar estos requisitos, las organizaciones deben considerar la definición de los siguientes criterios como parte de su programa de gestión de riesgos de terceros:

  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Funciones y responsabilidades claras (por ejemplo, RACI) para todos los miembros del equipo.
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte para determinar las dependencias ascendentes
  • Fuentes de datos de supervisión continua (por ejemplo, cibernéticos, empresariales, reputacionales, financieros) para proporcionar información constante sobre los riesgos emergentes para los datos.
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) contractuales con los que comparar.
  • Informes para satisfacer las necesidades de múltiples partes interesadas internas (y externas)
  • Estrategias de mitigación y remediación de riesgos, incluida la aplicabilidad de controles compensatorios.

Muchas organizaciones optan por alinearse con un marco de gestión de riesgos aceptado, como ISO, para lograrlo. Si desea automatizar el proceso de medición de su programa TPRM en relación con un marco industrial, asegúrese de seleccionar una plataforma de evaluación que ofrezca varias opciones de cuestionarios predefinidos que se ajusten a múltiples marcos.

La obligación de protección de datos, 17.3 d)

La PDPA exige a las organizaciones «estar preparadas y ser capaces de responder a las violaciones de la seguridad de la información de forma rápida y eficaz».

Identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de terceros proveedores es imposible de lograr manualmente o sin una base sólida de gestión de incidentes. Las capacidades clave que deben examinarse como parte de su programa de respuesta a incidentes incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables para mantener la flexibilidad ante amenazas en constante cambio.
  • Seguimiento en tiempo real de la cumplimentación de cuestionarios para garantizar que se está avanzando adecuadamente.
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de los proveedores para permitir que terceros identifiquen por sí mismos los incidentes.
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y determinar los datos en riesgo.

La obligación de protección de datos, 17.4

La PDPA sugiere que las organizaciones realicen una evaluación de riesgos para determinar si sus medidas de seguridad de la información son adecuadas. Para ello, se pueden tener en cuenta los siguientes factores:

a) el tamaño de la organización y la cantidad y el tipo de datos personales que posee;

b) quién dentro de la organización tiene acceso a los datos personales; y

c) si los datos personales son o serán conservados o utilizados por un tercero en nombre de la organización.

Para abordar estas sugerencias, tenga en cuenta las siguientes capacidades:

Autoevaluaciones

Realizar una evaluación interna del impacto sobre la privacidad (PIA) centrada en los datos y procesos empresariales más sensibles relacionados con la privacidad y que presentan un mayor riesgo. La PIA evalúa el origen, la naturaleza y la gravedad del riesgo potencial. También ofrece recomendaciones para mitigar los riesgos identificados, garantizando el cumplimiento futuro de la normativa en materia de privacidad.

Descubrimiento y mapeo de datos de terceros, cuartos y enésimos

Las evaluaciones y el escaneo pasivo pueden permitir el mapeo de relaciones para rastrear las transferencias de datos entre relaciones comerciales, identificar dónde existen los datos, hacia dónde fluyen y con quién se comparten fuera de la organización.

Evaluación de riesgos de proveedores

Examine los controles de privacidad de datos de terceros con respecto a la PDPA utilizando un marco común, como la norma ISO. El contenido específico del cuestionario ayuda a identificar los riesgos y a asignarlos a los controles para obtener una visión clara de los posibles puntos críticos. Como parte de este proceso, supervise continuamente Internet y la web oscura en busca de amenazas y vulnerabilidades cibernéticas, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Respuesta ante riesgos y medidas correctivas

Establezca umbrales y automatice la identificación de riesgos basándose en ellos. Aproveche las reglas de flujo de trabajo que escalan los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas. Ofrezca a terceros recomendaciones de corrección prescriptivas para que rindan cuentas.

Seguimiento y presentación de informes sobre el cumplimiento normativo

Elabore informes de cumplimiento estructurales según los requisitos de la PDPA utilizando un marco común del sector, como la norma ISO. Esto le permitirá asignar automáticamente los riesgos y las respuestas a los controles, proporcionar una calificación de porcentaje de cumplimiento y generar informes específicos para las partes interesadas con el fin de ofrecer visibilidad sobre la seguridad de los datos.

Supervisión continua de notificaciones de eventos de violación de seguridad

Manténgase al tanto de los posibles riesgos para los datos mediante la supervisión de las bases de datos de violaciones de datos. Estas le proporcionarán información sobre los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real sobre violaciones de datos de proveedores.

Cómo Prevalent ayuda a cumplir los requisitos de TPRM de la PDPA

Las organizaciones que deben cumplir con la PDPA deben asegurarse de que los terceros con los que comparten información personal cuenten con controles para proteger dicha información. Prevalent ofrece a las organizaciones una plataforma escalable de gestión de riesgos de terceros que aborda los riesgos relacionados con la protección de datos. La plataforma Prevalent:

  • Establece una base sólida para la protección de datos de terceros con un programa integral de TPRM.
  • Ofrece visibilidad sobre dónde están los datos privados, cómo fluyen y quién tiene acceso a ellos.
  • Acelera la identificación y corrección de riesgos, mitigando los costes de las infracciones y los daños a la reputación.
  • Genera informes específicos para reguladores, proveedores y partes interesadas internas.
  • Supervisa continuamente las infracciones y acelera la respuesta ante incidentes para mitigar el riesgo de que se produzca un incidente de seguridad de datos perjudicial y costoso.

Con Prevalent, los equipos de proveedores, seguridad y privacidad disponen de una única plataforma de colaboración para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto de terceros como internos.

Para obtener más información sobre las soluciones de Prevalent para el cumplimiento de la PDPA, descargue nuestra completa lista de verificación de cumplimiento de la PDPA o programe una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.