RGPD (3): Y ahora, ¿cómo supervisar que los proveedores también cumplen el Reglamento?

De entre los actores que intervienen en el cumplimiento del nuevo reglamento RGPD, destacan por tener un papel más activo y por su acción directa sobre los datos personales, el responsable (controller en inglés) y el encargado del tratamiento (processor).

Es interesante observar la diferencia entre ambas figuras porque, aunque tienen cometidos distintos dentro del tratamiento de los datos, sus obligaciones se pueden llegar a confundir. Mientras que el primero es el único responsable de garantizar la seguridad y la privacidad de los datos personales, el segundo es quien opera directamente los procesos que incluyen el tratamiento de los mismos. El encargado siempre actúa por cuenta del responsable, y debe ser elegido de tal forma que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

La subcontratación de servicios externos es una costumbre muy habitual en todo tipo de organizaciones.  Esta práctica tiene muchas ventajas sobradamente conocidas, pero en el caso del tratamiento de datos personales -y de cualquier información valiosa- supone un riesgo que debe ser valorado y gestionado por el responsable. Por tanto, se hace necesario el establecer mecanismos de control de los proveedores, que garanticen el cumplimiento del reglamento.

Una de las herramientas que tiene el responsable para gestionar su relación con el encargado es el contrato. En él se deben establecer las particularidades del proceso, tales como el objeto, la duración, la naturaleza o la finalidad del tratamiento. Pero los proveedores, además, están obligados a demostrar la existencia y la aplicación de medidas adecuadas de seguridad sobre los datos; y sus clientes, los responsables, además de exigirlas por contrato, están obligados a asegurarse de que se cumplen.

¿Cómo realizar esta supervisión sin convertirse en auditor de los proveedores? Las organizaciones tienen otros fines muy diferentes. La adopción de nuestra calificación de seguridad les permite llevar a cabo la supervisión de sus proveedores de forma mucho más eficaz y eficiente, sin necesidad de tener o contratar expertos o auditores externos, y sin que ello les suponga ningún coste adicional, puesto que es el propio proveedor quien contrata con la Agencia la calificación de sus servicios.

La calificación facilita a los proveedores el poder demostrar, a todos los clientes de los mismos servicios, el nivel de protección aplicado, mediante una única evaluación independiente, con una escala objetiva y pública, y mapeable con requisitos específicos; evitando que cada uno de ellos le solicite una auditoría distinta, y ahorrando de esta forma esfuerzos y tiempo.

Los clientes únicamente deberán requerir de sus proveedores la calificación de los servicios prestados o consultar el repositorio público de servicios calificados de la agencia, para asegurarse de que las medidas de seguridad realmente aplicadas se corresponden con sus necesidades acorde al nivel de riesgo asociado a los datos y tratamiento realizado.

De esta manera, la utilidad de la calificación es doble: en primer lugar, permite a los proveedores demostrar el nivel de seguridad que aplican al tratamiento; y al mismo tiempo proporciona el instrumento idóneo para que los responsables puedan supervisarlos.

Como usuario, exígela. Como proveedor, acredítala.

All you need is LEET.

Suscríbete a nuestra Newsletter pinchando aquí