Friday, April 19, 2024
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España
Artículos, Asociación, Grupos Expertos, itSMF España

Gestión del riesgo de Privacidad a terceros

By RRSS , in Artículos Asociación Grupos Expertos itSMF España , at 20/12/2022 Etiquetas: , , ,

Dentro de la gestión de riesgos, vamos a focalizarnos en las relaciones entre responsables y encargados del tratamiento dentro del proceso de homologación de proveedores, así como a lo largo de toda la relación contractual.

Lo primero que no debemos perder de vista es que la obligación de garantizar el despliegue e implementación de las medidas técnicas y organizativas más adecuadas a la hora de llevar a cabo el tratamiento de los datos.

Por esta razón, dentro de las fases de diseño del tratamiento de datos, se encuentra la toma en consideración de la taxonomía de los datos personales que pretendemos recopilar, explotar y almacenar, así como el impacto que causaría en el individuo y la sociedad una amenaza materializada. El hecho de que tengamos que reflexionar sobre este punto, responde a la pérdida de control intrínseca que se produce al introducir a un nuevo jugador.

El Reglamento General de Protección de Datos (RGPD) no establece fórmulas concretas para seleccionar al proveedor más adecuado, permitiendo escoger la metodología más acorde a sus recursos, políticas y oportunidades, si bien en todo caso se debe cumplir con los extremos dispuestos en el artículo 28 RGPD.

Aun así, en este post queremos proporcionar un enfoque holístico de buenas prácticas a la hora de elegir a nuestro encargado del tratamiento:

1. El responsable del tratamiento debe realizar un análisis de riesgos inicial sobre:

  • El nivel de criticidad del tratamiento a externalizar.
  • Tráfico y gobernanza de los datos.
  • Análisis de necesidad y proporcionalidad del ciclo de vida del tratamiento.
  • Identificación, valoración y mitigación, de ser el caso, de cada uno de los riesgos, tanto de los inherentes, como el residual.
  • Grado de intensidad y dependencia que va a tener respecto del proveedor y entre este y los subencargados.

En virtud del resultado del análisis, que deberá estar documentado, las entidades pueden segmentar a sus encargados del tratamiento por niveles de riesgo y criticidad de modo que, a mayor nivel, mayor grado de exhaustividad y exigencias.

2. Dentro de cada segmento, tendremos que implementar la entrada (homologación) y mantenimiento. A modo de ejemplo, podemos:

  • Cumplimentar listas de verificación con los mínimos indispensables del artículo 28 RGPD y todos aquellos ítems que hayan surgido del análisis de riesgos como requisitos.
  • Solicitar planes, políticas y procedimientos de la entidad vinculados a los procesos a prestar.
  • Ubicaciones de los CPD o del alojamiento de los proveedores de servicios Cloud, tanto de los encargados como de los subencargados.
  • Certificados ISO o análogos en materia de seguridad de los sistemas de información, que no demuestran cumplimiento directamente, pero sí que se han implementado unas medidas de seguridad acordes con un estándar internacional.
  • Adhesión a Códigos de Conducta en materia de protección de datos.
  • Realización de auditorías, o reuniones de seguimiento periódicas.

3. Una vez hayamos seleccionado el o los encargados del tratamiento, y tras haber procedido a la redacción y firma de los contratos (o instrumento jurídico vinculante análogo) en materia de protección de datos, debemos monitorizar, revisar y, en su caso, reevaluar de forma periódica y con cada modificación sustancial del tratamiento de los datos, el análisis de riesgos inicial.

También tendremos que establecer controles para evaluar el desempeño y riesgos relacionados con cada uno de los encargados del tratamiento (que bien pueden ser los anteriores).

En definitiva, la gestión de riesgos de terceros en materia de protección de datos es indispensable para cualquier entidad, por lo que implementar buenas prácticas a la hora de seleccionar un encargado de tratamiento nos ayuda a prevenir riesgos innecesarios.

Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.

 

Alba Sánchez de la Calle

Miembro del Grupo de Expertos de Privacidad: ITSM4Privacidad

Comité de Estándares de la Asociación itSMF España

 

 

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Realted Posts

Equipos de alto desempeño

Uno de los estándares para la gestión de proyectos es el PMBOK. Como ya sabéis uno de los cambios que…

25 de junio, webinar gratuito Catch up on Obsidian!

El próximo 25 de junio, a las 11:00h, ¡tendrá lugar el webinar gratuito Catch up on Obsidian! En este encuentro…

Charla Mensual ITSM4SIG: «Gestionar la diversidad mediante la Integración de sistemas» con Rocío Álvarez Moret

El próximo lunes 31 de mayo a las 19:00 tendrá lugar la primera Reunión del Grupo de Expertos itsm4SIG del…

Manuel Ballester Líder del Grupo de Expertos de Gobierno de Información y Tecnología del Service Management Institute SMI®

Hoy damos la bienvenida a Manuel Ballester quien asume la responsabilidad de liderar el Grupo de Expertos de Gobierno de…

ISO/IEC 20000-1 y MAMD: El nexo de unión entre los procesos para gestión de servicios y la gestión gobierno y calidad de datos. Parte 2.

Resumen La relación y concordancia entre el CTO Team y el CDO Team es vital para abordar la implantación de…
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad