Guía Práctica para la Gestión de Riesgos de Terceros en Privacidad

Guía Práctica para la Gestión de Riesgos de Terceros en PrivacidadISMS Forum

Overview: El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, directamente aplicable desde el 25 de mayo de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), ha supuesto un cambio total de paradigma a la hora de determinar y regular el cumplimiento de las obligaciones en materia de protección de datos, estableciendo la obligación legal para las empresas de adoptar un enfoque de riesgos frente a los viejos modelos de cumplimiento meramente formal.
El art. 5.2. RGPD recoge el principio básico de la “responsabilidad proactiva” o “accountabilty”, tradicionalmente conocido también como “obligación de diligencia debida”; indicando que “El responsable del tratamiento será responsable del cumplimiento (…) y capaz de demostrarlo”. Ello va a obligar a las empresas a que sean ellas mismas quienes determinen y evalúen cuáles van a ser las mejores medidas que les permitan cumplir con la normativa y poder demostrarlo, así como verificar periódicamente dicho sistema o medidas implantadas (art. 24.1. o 32.1.d RGPD).
En este contexto, donde además cada vez resulta mayor la dependencia de las empresas de sus proveedores y de la cadena de suministro, el deber de diligencia de las empresas no solo va a suponer un mayor conocimiento de la cadena de suministro y una mejora en la toma de decisiones, sino que además esa diligencia debida constituye una obligación legal impuesta por la normativa de protección de datos pero también otro tipo de normativas, como por ejemplo la penal, o normativas sectoriales específicas (banca, seguros, telecomunicaciones, infraestructuras críticas, etc.), que obliga a las empresas a contar con “compliance programs”, a tener políticas de externalización de servicios y evaluación de proveedores, a analizar y evaluar los riesgos, controlar y supervisar a los proveedores que accedan a datos personales a lo largo de todo el ciclo de vida de la propia prestación de servicios que realicen (elección del proveedor, negociación y firma de contrato, monitorización y vigilancia del cumplimiento del contrato, terminación de la prestación de servicios, etc.) e incluso a determinar conjuntamente con los proveedores los controles de los riesgos.
El objeto de la presente guía, establecer unas pautas generales, recomendaciones o buenas prácticas que permitan a las empresas concretar e implementar ese principio general de la diligencia debida, especialmente a la hora de elegir a sus proveedores. Tras definir en los capítulos 1 y 2 las obligaciones legales existentes, el capítulo 3 se centra en concretar cuáles son esas buenas prácticas según la fase en la que vaya teniendo intervención el proveedor: fase pre-contractual, fase contractual y fase de terminación de la relación contractual.

Download