Dentro de la gestión de riesgos, vamos a focalizarnos en las relaciones entre responsables y encargados del tratamiento dentro del proceso de homologación de proveedores, así como a lo largo de toda la relación contractual.
Lo primero que no debemos perder de vista es que la obligación de garantizar el despliegue e implementación de las medidas técnicas y organizativas más adecuadas a la hora de llevar a cabo el tratamiento de los datos.
Por esta razón, dentro de las fases de diseño del tratamiento de datos, se encuentra la toma en consideración de la taxonomía de los datos personales que pretendemos recopilar, explotar y almacenar, así como el impacto que causaría en el individuo y la sociedad una amenaza materializada. El hecho de que tengamos que reflexionar sobre este punto, responde a la pérdida de control intrínseca que se produce al introducir a un nuevo jugador.
El Reglamento General de Protección de Datos (RGPD) no establece fórmulas concretas para seleccionar al proveedor más adecuado, permitiendo escoger la metodología más acorde a sus recursos, políticas y oportunidades, si bien en todo caso se debe cumplir con los extremos dispuestos en el artículo 28 RGPD.
Aun así, en este post queremos proporcionar un enfoque holístico de buenas prácticas a la hora de elegir a nuestro encargado del tratamiento:
1. El responsable del tratamiento debe realizar un análisis de riesgos inicial sobre:
- El nivel de criticidad del tratamiento a externalizar.
- Tráfico y gobernanza de los datos.
- Análisis de necesidad y proporcionalidad del ciclo de vida del tratamiento.
- Identificación, valoración y mitigación, de ser el caso, de cada uno de los riesgos, tanto de los inherentes, como el residual.
- Grado de intensidad y dependencia que va a tener respecto del proveedor y entre este y los subencargados.
En virtud del resultado del análisis, que deberá estar documentado, las entidades pueden segmentar a sus encargados del tratamiento por niveles de riesgo y criticidad de modo que, a mayor nivel, mayor grado de exhaustividad y exigencias.
2. Dentro de cada segmento, tendremos que implementar la entrada (homologación) y mantenimiento. A modo de ejemplo, podemos:
- Cumplimentar listas de verificación con los mínimos indispensables del artículo 28 RGPD y todos aquellos ítems que hayan surgido del análisis de riesgos como requisitos.
- Solicitar planes, políticas y procedimientos de la entidad vinculados a los procesos a prestar.
- Ubicaciones de los CPD o del alojamiento de los proveedores de servicios Cloud, tanto de los encargados como de los subencargados.
- Certificados ISO o análogos en materia de seguridad de los sistemas de información, que no demuestran cumplimiento directamente, pero sí que se han implementado unas medidas de seguridad acordes con un estándar internacional.
- Adhesión a Códigos de Conducta en materia de protección de datos.
- Realización de auditorías, o reuniones de seguimiento periódicas.
3. Una vez hayamos seleccionado el o los encargados del tratamiento, y tras haber procedido a la redacción y firma de los contratos (o instrumento jurídico vinculante análogo) en materia de protección de datos, debemos monitorizar, revisar y, en su caso, reevaluar de forma periódica y con cada modificación sustancial del tratamiento de los datos, el análisis de riesgos inicial.
También tendremos que establecer controles para evaluar el desempeño y riesgos relacionados con cada uno de los encargados del tratamiento (que bien pueden ser los anteriores).
En definitiva, la gestión de riesgos de terceros en materia de protección de datos es indispensable para cualquier entidad, por lo que implementar buenas prácticas a la hora de seleccionar un encargado de tratamiento nos ayuda a prevenir riesgos innecesarios.
Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.
Alba Sánchez de la Calle
Miembro del Grupo de Expertos de Privacidad: ITSM4Privacidad
Comité de Estándares de la Asociación itSMF España