Cómo realizar evaluaciones de riesgo de proveedor [RGPD, Medida 9]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones no solo deben controlar sus propios procesos, sino también garantizar que sus proveedores protejan correctamente los datos de carácter personal de interesados como clientes actuales o potenciales o empleados.

Hace poco celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 9 de este plan consiste en realizar evaluaciones de riesgo de proveedor. Para consultar cuáles son las ocho primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La perspectiva del RGPD sobre el riesgo de los proveedores

La evaluación de riesgo de proveedor es un subconjunto de las evaluaciones de impacto sobre protección de datos. Si bien la mayoría de organizaciones realizan exhaustivas evaluaciones sobre sus procesos y sistemas internos, suelen pasar por alto a proveedores y prestadores de servicios.

Saber gestionar el riesgo que plantean los proveedores es complicado, puesto que no dependen directamente del control de las organizaciones. No obstante, el RGPD estipula sin lugar a dudas que tanto los responsables (entidades que determinan la finalidad y el medio de tratamiento de los datos de carácter personal) como los encargados (entidad que trata los datos de carácter personal en nombre de un responsable) se hallan dentro de su competencia.

El artículo 28.1 del RGPD recoge las obligaciones de un encargado de procesar información por cuenta ajena. El artículo estipula que en los casos en los que vaya a realizarse un tratamiento por cuenta de un responsable, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD.

El artículo 28.2 también recoge que el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable.

En el caso en que un proveedor infringiera la confidencialidad de datos de carácter personal, las organizaciones pueden verse expuestas a multas importantes por valor de 20 millones de euros o el 4 % de sus ingresos, la cantidad que sea más elevada. Esto explica que para cumplir con el RGPD resulte fundamental hacer una exhaustiva evaluación de riesgo de proveedor.

Cómo realizar una evaluación de riesgo de proveedor

La gobernanza de datos debe garantizar que los equipos de asesoramiento y cumplimiento jurídico aprueben las evaluaciones de riesgo de proveedor antes de compartir datos de carácter personal con dichos proveedores. Sin embargo, estas evaluaciones no son tan sencillas. No basta con enviar un cuestionario con una lista de casillas.

Una evaluación de riesgo de proveedor típica comprende las siguientes etapas:

  1. Identificar a los proveedores: hay muchas organizaciones que no poseen ningún listado general de proveedores. Dada la cantidad de aplicaciones de terceros que utilizamos hoy en día se hace necesario, para empezar, compilar una lista exhaustiva de proveedores de un sistema dado.
  2. Evaluar los contratos: los equipos de asesoramiento y cumplimiento jurídico deben analizar los contratos en vigor y evaluar cómo modificarlos con el fin de obligar a los proveedores a cumplir el RGPD. Deben redactarse plantillas de contrato para agilizar el proceso.
  3. Identificar a los proveedores de los proveedores: los proveedores no pueden externalizar datos de carácter personal sin el conocimiento de la organización. Si el proveedor comparte datos de carácter personal con encargados subsiguientes, los equipos de asesoramiento y cumplimiento jurídico deben aprobar también las evaluaciones de riesgo de proveedor de esos otros encargados.
  4. Preparar cuestionarios de comprobación de preparación: los cuestionarios pueden ayudar a entender cómo perciben los proveedores su nivel de preparación. Muchas veces las respuestas nos permiten saber si los datos corren algún riesgo.
  5. Realizar auditorías in situ: efectuar auditorías in situ ayuda a determinar si las respuestas a los cuestionarios coinciden con la realidad observable. Estas auditorías pueden programarse a intervalos periódicos para garantizar que la empresa conserva siempre su nivel de preparación.
  6. Dar el visto bueno o rechazar: al término de una evaluación, si el equipo de gobernanza de datos sospecha que existe un posible riesgo deberá evaluar si el plan de acción del proveedor para cumplir con el RGPD es lo bastante sólido como para seguir con la relación comercial.

Usar Talend para las evaluaciones de riesgo de proveedor

Las evaluaciones de riesgo de proveedor no se hacen de la noche a la mañana, por lo que a largo plazo los procesos manuales son impracticables. El uso de tecnología no solo agiliza el proceso, sino que también proporciona indicadores concluyentes para el análisis. Además, los resultados de la evaluación se pueden integrar como soluciones en los sistemas.

Las tecnologías de Talend pueden ser de utilidad para las evaluaciones de riesgo de proveedor en situaciones en las que se recaben datos de proveedores o se compartan datos con ellos. Las herramientas de Talend van más allá de la fase de evaluación, puesto que refuerzan automáticamente los controles impuestos por el RGPD relativos al intercambio diario de datos. Talend Data Quality puede integrar controles en un flujo de integración de datos, mientras que Talend Data Stewardship pueden transferir la responsabilidad de la rendición de cuentas en materia de administración de datos al proveedor.

Medidas posteriores a una evaluación de riesgo de proveedor

Las evaluaciones de riesgo de proveedor no son una actividad puntual. La gobernanza debe demostrar una inversión continua en el proceso y actualizar recursos, documentos y sistemas conforme a sus conclusiones. Además, las organizaciones deben dejar de trabajar en compartimentos estancos y comunicarse mejor con sus proveedores.

La próxima medida del exhaustivo plan de 16 medidas para asegurar el cumplimiento del RGPD de Talend consiste en mejorar la calidad de los datos.

Para obtener más información y consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aporta información sobre la creación de normas y controles, la identificación de titulares de datos, de elementos de datos críticos, linaje de datos y mucho más.

| Last Updated: agosto 12th, 2019