Cumplimiento de proveedores: Normativa clave a tener en cuenta en su programa de gestión de riesgos laborales

Las organizaciones son cada vez más responsables del cumplimiento de la normativa en sus cadenas de suministro. Asegúrese de revisar estas normativas como parte de su programa de gestión de riesgos de proveedores.

Personal de Mitratech
Personal de Mitratech 25 de julio de 2024 14 min read

Comprender el impacto de las normativas industriales y gubernamentales en su cadena de suministro es esencial para reducir el riesgo para su empresa y ofrecer garantías a sus clientes. En este artículo se analizan varios requisitos de cumplimiento que debe considerar como parte de su programa más amplio de gestión de riesgos de proveedores.

Aunque las empresas llevan años sujetas a las normativas sobre seguridad de la información y privacidad de los datos, varios mandatos han evolucionado recientemente para centrarse más en las relaciones con los proveedores. Al mismo tiempo, estamos asistiendo a la introducción de requisitos de cumplimiento ESG con importantes implicaciones para las cadenas de suministro. En este post, cubriremos las categorías de requisitos de cumplimiento de los proveedores, revisaremos las normativas clave que abordan directamente el riesgo de los proveedores y analizaremos cómo influyen en su programa de SRM.

¿Qué tipos de requisitos de cumplimiento se aplican a los proveedores?

Se aplican tres tipos principales de requisitos de cumplimiento a los proveedores terceros:

  • Requisitos de seguridad de la información, como HIPAA
    y CMMC
  • Requisitos de cumplimiento ESG, como la Ley de Esclavitud Moderna del Reino Unido y la Directiva de Diligencia Debida Corporativa de la UE.
  • Requisitos de privacidad de datos, como GDPR y CCPA

Seguridad de la información del proveedor

No es ningún secreto que el cumplimiento de la seguridad de la información es una consideración fundamental cuando se trabaja con empresas de software, proveedores de servicios SaaS y otros proveedores de TI. Sin embargo, es fundamental asegurarse de que sus proveedores no informáticos también incorporan las normas de seguridad de la información en sus prácticas empresariales.

Cualquier proveedor puede plantear riesgos de violación de datos si tiene acceso a la información sensible, los sistemas o las instalaciones de su organización. Considere los siguientes ejemplos:

  • Nombres y datos de clientes que están sujetos a acuerdos de confidencialidad y que podrían causar daños financieros y de reputación si se publican.
  • Información personal identificable (PII) o información sanitaria protegida (PHI) de clientes, empleados o incluso otros proveedores.
  • Acceso físico o virtual a los sistemas, como un proveedor contratado para mantener o actualizar equipos industriales.

Proveedor ESG

Las prácticas medioambientales, sociales y de gobernanza (ASG ) en la cadena de suministro son cada vez más cruciales para muchas organizaciones. Varios países están estableciendo normativas que exigen a las organizaciones llevar a cabo una diligencia debida en materia de ASG a lo largo de sus cadenas de suministro de forma proactiva. Algunos ejemplos de cuestiones ASG que afectan a las cadenas de suministro son:

  • Trabajo forzado, esclavitud moderna y otros abusos de los derechos humanos por parte de empresas de extracción de minerales, fabricantes y otros proveedores que dependen de mano de obra pesada.
  • Degradación medioambiental, como altos niveles de emisiones de gases de efecto invernadero, destrucción de selvas tropicales y otros ecosistemas, o violación de tierras pertenecientes a pueblos indígenas.
  • Cuestiones de soborno y corrupción en proveedores terceros, cuartos y enésimos afiliados a gobiernos con un historial de abusos.

Protección de datos de proveedores

La privacidad de los datos también es una preocupación importante cuando se trabaja con proveedores. Reglamentos como el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad del Consumidor de California (CCPA) y la Ley SHIELD de Nueva York establecen normas sobre cómo se pueden adquirir, procesar y compartir los datos de los consumidores. Las preocupaciones sobre la privacidad de los datos de los proveedores pueden surgir de situaciones como:

  • Compartir o vender datos de clientes sin consentimiento previo
  • No auditar a los proveedores que tienen acceso físico o virtual a datos personales
  • Utilizar proveedores con controles inadecuados para salvaguardar la IIP, la IPS y otros datos sensibles.

Requisitos de seguridad de la información para proveedores

Incluso los proveedores ajenos a la industria de TI pueden tener acceso a información de identificación personal, información de salud protegida, propiedad intelectual u otra información confidencial que podría plantear riesgos de cumplimiento para su organización. Estos son algunos de los principales requisitos de seguridad de la información que deben tenerse en cuenta al trabajar con proveedores:

HIPAA para proveedores

La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios(HIPAA) obliga a las organizaciones a aplicar controles de seguridad de la información que protejan la información sanitaria protegida (PHI) de los pacientes. Los requisitos de la HIPAA regulan varios tipos de organizaciones, como los proveedores de servicios sanitarios, los proveedores de planes de salud y los centros de intercambio de información sanitaria.

En virtud de la norma HIPAA para empresas asociadas, los vendedores y proveedores externos que almacenan o procesan información médica protegida también están sujetos a la supervisión de la HIPAA. Aunque los asociados comerciales de la HIPAA suelen ser proveedores de TI, no siempre es así. Los socios comerciales también pueden ser proveedores como:

  • Consultores que tramitan solicitudes de asistencia sanitaria
  • Proveedores que realizan revisiones de utilización y eficiencia para un hospital
  • Transcriptores médicos

¿Qué proveedores deben cumplir la HIPAA?

La Regla de Asociados Comerciales de la HIPAA se aplica a cualquier tercero que almacene o procese información sanitaria protegida. Según el Departamento de Salud y Servicios Humanos, un asociado comercial es "una persona o entidad que realiza determinadas funciones o actividades que implican el uso o la divulgación de información sanitaria protegida en nombre de una entidad cubierta o que le presta servicios."

CMMC para proveedores

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco creado por el Departamento de Defensa de Estados Unidos (DoD) para mejorar la seguridad de su cadena de suministro, conocida como Base Industrial de Defensa (DIB).

En virtud del CMMC 2.0, las organizaciones que deseen trabajar con el Departamento de Defensa deberán cumplir normas específicas de seguridad de la información y estar certificadas en uno de los tres niveles del CMMC, en función del tipo de datos que manejen y del alcance de su acceso a información clasificada:

  • Nivel 1: Este nivel es para proveedores que gestionan información de contratos federales (FCI), que no es crítica para la seguridad nacional y requiere autoevaluaciones con respecto a 17 controles.
  • Nivel 2: Los proveedores que manejan información no clasificada controlada (CUI) entran en el nivel 2 y deberán certificarse con respecto a 110 controles adicionales de NIST SP 800-171. Aunque algunos proveedores pueden realizar autoevaluaciones en este nivel, la mayoría requerirá evaluaciones por parte de organizaciones de auditoría externas certificadas (C3PAO). Aunque algunos proveedores pueden realizar autoevaluaciones en este nivel, la mayoría requerirá evaluaciones de organizaciones de auditoría de terceros certificados (C3PAO).
  • Nivel 3: Se trata de un nivel experto para los proveedores del DoD de mayor prioridad. Además de los controles requeridos para el Nivel 2, este nivel implica un subconjunto de controles NIST SP 800-172. El gobierno federal llevará a cabo las auditorías para los proveedores de nivel 3.

¿Qué proveedores deben cumplir el CMMC?

El CMMC se aplicará a todos los contratistas principales, subcontratistas y proveedores del DoD en la cadena de suministro del DoD. El DoD prevé que más de 300.000 organizaciones se verán afectadas por la normativa CMMC. Las organizaciones que no cumplan con CMMC pueden perder la capacidad de licitar en contratos con el Departamento de Defensa de EE.UU.. La reglamentación final sobre CMMC 2.0 está en curso, y su aplicación gradual está prevista para finales de este año y hasta 2025.

NIST para proveedores

El Instituto Nacional de Normas y Tecnología (NIST) publica marcos de ciberseguridad que contienen las mejores prácticas para crear programas eficaces de seguridad de la información. Todas las agencias federales estadounidenses, contratistas y subcontratistas que trabajan con agencias federales deben cumplir los mandatos de seguridad del NIST.

Los documentos del NIST no son legalmente vinculantes, pero varias normativas se basan en controles y normas del NIST. Muchas organizaciones públicas y privadas exigen certificaciones de terceros basadas en las orientaciones del NIST. Varias publicaciones especiales del NIST describen controles que obligan a las organizaciones a establecer y aplicar procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro. Estos incluyen:

  • SP 800-53 Rev. 5: Controles de seguridad y privacidad para sistemas de información y organizaciones
  • SP 800-161 Rev. 1: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones
  • Marco de Ciberseguridad v2.0: Marco para mejorar la ciberseguridad de las infraestructuras críticas

¿Qué requisitos del NIST se aplican a las relaciones con los proveedores?

Entre los requisitos del NIST relacionados con los proveedores externos se incluyen:

  • Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
  • Supervisar los controles de seguridad para determinar su eficacia de forma continua.
  • Determinar los requisitos de ciberseguridad para los proveedores
  • Establecer requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos)
  • Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.
  • Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.

El NIST no es un organismo regulador, por lo que no existen sanciones legales directas por incumplimiento, a menos que lo exijan normativas como la HIPAA, que utiliza la norma NIST SP 800-66. Sin embargo, si su organización trabaja con agencias gubernamentales estadounidenses, el cumplimiento de las normas del NIST es necesario. El incumplimiento de las normas NIST por parte de terceros proveedores puede plantear riesgos y perjudicar las relaciones con los clientes.

Requisitos de cumplimiento ESG para proveedores

Las normativas diseñadas para abordar las preocupaciones medioambientales, sociales y de gobernanza (ASG) exigen cada vez más a las organizaciones que identifiquen y aborden de forma proactiva las cuestiones ASG en sus cadenas de suministro ampliadas.

Las primeras normativas ASG, como la Ley de Esclavitud Moderna del Reino Unido y la Ley de Transparencia en las Cadenas de Suministro de California (CTSCA), exigen principalmente a las organizaciones que informen sobre sus esfuerzos para mitigar las prácticas poco éticas en sus cadenas de suministro. Sin embargo, las normativas ASG más recientes y estrictas exigen acciones como la realización de auditorías rutinarias de las prácticas ASG de los proveedores, la rescisión de contratos con proveedores poco éticos y la supervisión proactiva de las cadenas de suministro para detectar posibles riesgos ASG.

Los requisitos de cumplimiento ESG se dividen en dos categorías principales:

  1. Requisitos de divulgación, que exigen que las organizaciones informen sobre los esfuerzos realizados para abordar las cuestiones ASG en sus cadenas de suministro.
  2. Requisitos de diligencia debida y control, que exigen que las organizaciones evalúen las prácticas ASG de los proveedores y se aseguren de que estos aplican controles relacionados con la ASG.

Las normativas ESG existentes y futuras para su programa de gestión de riesgos de proveedores incluyen la Ley canadiense de lucha contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro, la Ley de esclavitud moderna del Reino Unido, la Ley alemana de diligencia debida en la cadena de suministro y la Directiva de la UE sobre diligencia de la sostenibilidad empresarial.

Ley de lucha contra el trabajo forzoso y el trabajo infantil en las cadenas de suministro (S-211)

La Ley de Lucha contra el Trabajo Forzoso y el Trabajo Infantil en las Cadenas de Suministro, también conocida como S-211, es una ley que obliga a las instituciones gubernamentales canadienses y a determinadas entidades del sector privado a "informar sobre las medidas adoptadas para prevenir y reducir el riesgo de que el trabajo forzoso o el trabajo infantil sea utilizado por ellas o en sus cadenas de suministro". La ley también prevé un régimen de inspección para hacer cumplir sus disposiciones. Al igual que la Ley contra la Esclavitud Moderna del Reino Unido, la Ley contra la Esclavitud de Australia y otras leyes similares, la Ley pretende contribuir a la lucha mundial contra el trabajo forzoso, el trabajo infantil y otras formas de esclavitud moderna.

¿Quién debe cumplir la Ley de Lucha contra el Trabajo Forzoso?

Todas las organizaciones gubernamentales canadienses que producen, compran o distribuyen bienes en Canadá deben cumplir la Ley. Además, las entidades comerciales deben cumplirla si a) cotizan en una bolsa de valores de Canadá o b) desarrollan su actividad y tienen activos en Canadá por valor de al menos 20 millones de dólares, generan al menos 40 millones de dólares en ingresos y emplean a una media de al menos 250 trabajadores.

Ley contra la esclavitud moderna en el Reino Unido

La Modern Slavery Act de 2015 es una ley británica que obliga a las organizaciones a comunicar públicamente sus prácticas para garantizar que en sus empresas o cadenas de suministro no se produzcan trabajos forzados, trata de seres humanos y otras formas de servidumbre involuntaria.

La sección "Transparencia en las cadenas de suministro" de la Ley (Parte 6, Sección 54) define qué información deben revelar las organizaciones, entre otras cosas:

  • estructura organizativa, incluida información sobre su actividad y sus cadenas de suministro
  • políticas empresariales contra la esclavitud y la trata de seres humanos
  • procesos de diligencia debida para revelar posibles casos de esclavitud y trata de seres humanos en sus empresas y cadenas de suministro
  • los ámbitos de actividad específicos en los que existe riesgo de esclavitud y trata de seres humanos, y las medidas adoptadas para evaluar y gestionar dicho riesgo
  • actuación para garantizar que no haya esclavitud ni trata de seres humanos en sus empresas o cadenas de suministro
  • información sobre la formación del personal en temas relacionados con la esclavitud y la trata de seres humanos

¿Quién debe cumplir la Ley contra la Esclavitud Moderna del Reino Unido?

La Ley de Esclavitud Moderna del Reino Unido se aplica a las organizaciones que operan en el Reino Unido con ventas anuales iguales o superiores a 36 millones de libras esterlinas.

Ley alemana de diligencia debida en la cadena de suministro

La Ley alemana de Diligencia Debida en la Cadena de Suministro obliga a las organizaciones a aplicar la diligencia debida en materia de derechos humanos en sus cadenas de suministro. Esta ley obliga a las empresas a tomar todas las medidas necesarias para prevenir los riesgos para los derechos humanos, informar sobre sus esfuerzos, remediar los riesgos y conservar la documentación durante siete años.

Las empresas cubiertas deben actualizar sus procesos de diligencia debida en la cadena de suministro y adaptar sus actividades a las disposiciones de la Ley, que abarcan los siguientes ámbitos:

  • Daños medioambientales
  • Salario mínimo
  • Trabajo infantil y trabajo forzoso
  • Apropiación ilegal de tierras y aguas
  • Tortura
  • Discriminación
  • Libertad de asociación
  • Condiciones de empleo y de trabajo problemáticas
  • Salud y seguridad en el trabajo

¿Quién debe cumplir la Ley alemana de Diligencia Debida en la Cadena de Suministro?

A partir de 2023, todas las empresas que operen en Alemania con al menos 3.000 empleados estarán sujetas a la Ley alemana de Diligencia Debida en la Cadena de Suministro. En 2024, la ley se extenderá a las empresas con más de 1.000 empleados.

Directiva de la UE sobre diligencia debida en materia de sostenibilidad empresarial

La Directiva sobre Diligencia Debida para la Sostenibilidad Corporativa, o CSDDD, establece obligaciones específicas para que las empresas lleven a cabo la diligencia debida en sus operaciones y cadenas de suministro para identificar, prevenir, mitigar y dar cuenta de los impactos adversos sobre el medio ambiente, el trabajo y los derechos humanos. El Parlamento Europeo publicó el proyecto final en enero de 2024. Si se aprueba, la ley entrará en vigor por fases a partir de 2027.

Si la ley se promulga, obligará a las organizaciones a:

  • Integrar la diligencia debida en materia de ASG en las políticas empresariales
  • Identificar impactos adversos reales o potenciales sobre los derechos humanos y el medio ambiente
  • Prevenir o mitigar posibles impactos
  • Acabar o minimizar los impactos reales
  • Establecer y mantener un procedimiento de reclamaciones
  • Supervisar la eficacia de la política y las medidas de diligencia debida
  • Informar públicamente sobre las actividades de diligencia debida

¿Quién debe cumplir la Directiva sobre la diligencia debida en materia de sostenibilidad empresarial?

Si se adoptan, las normas de la Directiva sobre Diligencia Debida para la Sostenibilidad Empresarial se aplicarán a las empresas de la UE y a las empresas matrices con más de 500 trabajadores y un volumen de negocios mundial superior a 150 millones de euros. Las obligaciones se aplicarán a las empresas con más de 250 trabajadores y un volumen de negocios superior a 40 millones de euros si generan al menos 20 millones de euros en uno de los siguientes sectores:

  • Fabricación y comercio al por mayor de textiles, prendas de vestir y calzado
  • Agricultura, incluida la silvicultura y la pesca
  • Fabricación de alimentos y comercio de materias primas agrícolas
  • Extracción y comercio al por mayor de recursos minerales o fabricación de productos relacionados
  • Construcción

Requisitos de protección de datos para proveedores

Los requisitos de privacidad de datos son otra preocupación central para las organizaciones que trabajan con proveedores externos. Reglamentos como el GDPR y la CCPA limitan la forma en que los datos personales pueden ser compartidos, almacenados y procesados entre empresas, y se imponen multas significativas en caso de incumplimiento.

GDPR para proveedores

El Reglamento General de Protección de Datos (RGPD ) es una ley de privacidad que regula el uso, la circulación y la protección de los datos recopilados sobre los ciudadanos de la Unión Europea (UE). El RGPD se aplica a cualquier organización que recopile, almacene, procese o transfiera datos personales de individuos en Europa, independientemente de su ubicación.

Dado que los terceros son a menudo responsables de la gestión de datos personales en nombre de sus clientes, las organizaciones deben asegurarse de que sus proveedores y vendedores cuentan con controles de protección de datos y gobernanza. Este proceso implica llevar a cabo evaluaciones de control de la privacidad de los datos, analizar los resultados en busca de riesgos potenciales y exigir a terceros que corrijan los riesgos para evitar exposiciones normativas, financieras y de reputación.

De hecho, el RGPD exige que las organizaciones realicen evaluaciones de riesgos para identificar los riesgos para la privacidad, tanto internamente como en terceros que manejen, procesen o almacenen datos personales en nombre de la organización. El Considerando 76-Evaluación de Riesgos establece que "El riesgo debe evaluarse sobre la base de una evaluación objetiva, mediante la cual se establezca si las operaciones de tratamiento de datos implican un riesgo o un alto riesgo."

¿Quién debe cumplir el RGPD?

El GDPR se aplica a cualquier organización que almacene o procese datos pertenecientes a residentes de la Unión Europea.

CCPA para proveedores

La Ley de Privacidad del Consumidor de California regula la recogida y venta de datos de los consumidores por parte de las empresas para proteger la información personal sensible de los residentes en California y ofrecer a los consumidores control sobre el uso que las empresas hacen de esa información.

La CCPA se aplica a los datos de los consumidores recogidos de cualquier residente de California, ya sea por una empresa con sede allí o simplemente haciendo negocios allí. Las organizaciones deben supervisar a los proveedores con acceso a datos pertenecientes a residentes en California y aplicar medidas proactivas para garantizar que los datos sujetos a la CCPA se traten adecuadamente.

La CCPA se amplió en 2023 con la Ley de Derechos de Privacidad de California (CPRA), añadiendo nuevas obligaciones de cumplimiento que exigen acuerdos estrictos con terceros para garantizar la recopilación, uso y eliminación seguros de la información de los consumidores.

¿Quién debe cumplir la CCPA?

La CCPA se aplica a las empresas que recogen información personal de residentes en California, a los proveedores de servicios y a terceros a los que las empresas transfieren esa información. Aunque la CCPA es una ley estatal, se aplica a cualquier entidad con ánimo de lucro -en cualquier lugar- que haga negocios con consumidores de California y:

  • Tiene unos ingresos brutos anuales superiores a 25 millones de dólares;
  • Compra, recibe o vende información personal de 50.000 o más residentes, hogares o dispositivos de California.
  • Obtiene el 50% o más de sus ingresos anuales de la venta de información personal de residentes en California.

Próximos pasos: Automatizar la gestión del cumplimiento de los proveedores

El entorno actual del riesgo de terceros es complejo y está en constante evolución. Su programa de gestión del riesgo de proveedores debe, por tanto, ser capaz de satisfacer los requisitos de cumplimiento normativo y garantizar la resiliencia empresarial en toda su cadena de suministro.

Con la solución de gestión de riesgos de proveedores de Prevalent, puede automatizar sus actividades de evaluación, supervisión, análisis e informes de riesgos de proveedores con una única plataforma unificada. Al mismo tiempo, obtendrá cobertura integrada para docenas de normativas de cumplimiento y marcos de mejores prácticas. Vea cómo puede agilizar el cumplimiento de los riesgos de sus proveedores, programe una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2025 Mitratech, Inc. Todos los derechos reservados.