NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

7. Gestione los riesgos con terceros

Celebre contratos y acuerdos con terceros que sean consistentes con la política de protección de datos, con los requerimientos legales y con los niveles de riesgo operacional tolerables

CATEGORÍA DE GESTIÓN DE DATOS:

7. Gestione los riesgos con terceros

Celebre contratos y acuerdos con terceros que sean consistentes con la política de protección de datos, con los requerimientos legales y con los niveles de riesgo operacional tolerables

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Mantenga requerimientos de protección de datos personales para terceros (ej. clientes, proveedores, encargados, afiliados)

Las leyes de protección de datos siguen haciendo responsable a la organización de cuidar la protección de datos personales a los que acceden los encargados o proveedores externos. Así, para estar al tanto de la protección de datos, la organización mantiene plantillas internas de cláusulas acerca de los requisitos para la protección de datos que terceros, como proveedores, encargados, afiliados y otros que reciben los datos personales en poder de la organización, deben cumplir.

Los temas que se pueden abordar en los contratos incluyen:

  • Responsabilidades de la protección de datos (por ejemplo, uso aceptable de datos personales, uso de subcontratistas, restricciones en futuras transferencias o usos);
  • Requisitos de seguridad de datos;
  • Disposición de los datos al final del contrato; y
  • Obligaciones de respuesta a los incidentes de seguridad

Mantenga procedimientos para celebrar contratos o convenios con todos los encargados

Esta actividad de gestión de información está relacionada con el mantenimiento de procedimientos para celebrar contratos o acuerdos con todos los proveedores que tratan información personal que está bajo la custodia de una organización, incluyendo:

  • Identificación de los contratos con proveedores que requieren provisiones específicas de protección de datos;
  • Alternativas para estructurar las relaciones legales implícitas de modo que se dé la protección datos entre todos los Responsables y Encargados; y
  • Consideraciones relacionadas con la autoridad para ejecutar tales acuerdos.
Esta actividad de gestión de información no abarca las disposiciones sustantivas de provisión de protección de datos que deberían ser incluidas en los contratos o los acuerdos con los responsables de datos.

Lleve a cabo procesos de debida diligencia (due diligence) de las prácticas de protección de datos y seguridad de la información de los potenciales proveedores/encargados

Al seleccionar a los potenciales proveedores/encargados, la organización lleva a cabo una evaluación a profundidad de la capacidad de los terceros de realizar las actividades requeridas de acuerdo con leyes y las mejores prácticas de protección de datos. La postura frente a la protección de datos y la seguridad por parte de terceros se evalúa para asegurarse que estos están en capacidad de adherirse a la política de protección de datos de la organización y a la política de seguridad de la información (ésto podría hacerse mediante una auditoría realizada por la organización o un informe de verificación de terceros).

Lleve a cabo procesos de debida diligencia de los terceros que suministran información personal a la organización

Las leyes de protección de datos y sus reglamentos buscan que la organización implemente sistemas de responsabilidad demostrada respecto de la protección de los datos que se encuentren bajo su control, independientemente de la fuente de los datos. Para estar debidamente informado sobre la protección de los datos personales y asegurar un tratamiento apropiado por parte de terceros que suministran información personal a la organización, es importante llevar a cabo procesos de debida diligencia (due diligence). El nivel del due diligence podrá variar dependiendo del origen geográfico y la sensibilidad de los datos involucrados (es decir, España en relación con EE.UU en relación con Corea; o en cuanto a los datos, nombre y dirección en relación con la información de tarjeta de crédito en relación con la información médica) lo que ayudará a la organización a entender los niveles mínimos de seguridad de datos personales, el nivel del due diligence, costos, el riesgo que se tiene si se limita el alcance, derechos individuales y requerimientos regulatorios y legales.

Mantenga un procedimiento de evaluación de riesgos de protección de datos de sus proveedores/distribuidores

La organización debe mantener un proceso para evaluar los riesgos de protección de datos que significa  la tercerización de un tratamiento/gestión de un conjunto de datos personales a sus proveedores/distribuidores terceros. Parte de este proceso incluye el análisis del riesgo de daño por parte de la organización en caso de que ocurriera una brecha de información. Los resultados pueden ser usados para identificar las áreas en donde la subcontratación es inadecuada y no debería mantenerse, así como aquellas áreas en donde se requiera un análisis de debida diligencia (due diligence) más profundo en relación con la postura en materia de protección de datos personales de los proveedores/distribuidores. 


Queda fuera del alcance de esta Actividad de Gestión de Información la realización de un análisis de debida diligencia a un proveedor para asegurar que cumple con los requerimientos en materia de protección de datos personales y seguridad. 


Mantenga una política para contratar a los prestadores de servicios en la nube

Las organizaciones mantienen una política que toma en cuenta el uso de prestadores de servicios en la nube que incluye problemas de protección de datos como por ejemplo:

  • Jurisdicción legal;
  • Legitimidad de las transferencias internacionales de datos;
  • Control sobre los datos personales;
  • Usos secundarios y transferencias de datos personales;
  • Seguridad de datos, y
  • Uso de subcontratistas.
Fuera del alcance de la actividad de gestión de información está el proceso de ejecución del contrato.

Mantenga procedimientos que establezcan las acciones por incumplimientos contractuales

La organización debe contar con procedimientos para abordar el incumplimiento por parte de un proveedor, cuando este tiene una brecha de información o en los requerimientos de seguridad, incluidos en un contrato o un acuerdo de tratamiento. Algunos de estos procedimientos incluyen:

  • Notificar al proveedor de la falla y otorgarle un tiempo determinado para abordar el incumplimiento. 
  • Apoyar al proveedor en la mitigación de la falla;
  • Restringir el acceso al proveedor a los datos personales; o
  • En casos graves, dar por terminado el contrato. 
Queda fuera del alcance de esta Actividad de Gestión de Información la definición de deberes y obligaciones contractuales, así como los procedimientos para determinar que una brecha de información ha ocurrido. 

Lleve a cabo análisis continuos de debida diligencia sobre las prácticas de protección de datos y seguridad de la información de proveedores/encargados

En forma periódica la organización debe llevar a cabo el análisis del cumplimiento de terceros (proveedores/encargados) respecto de su cumplimiento con las leyes de protección de datos y mejores prácticas, así como su adhesión a estándares de protección de datos y seguridad establecidos en el contrato. Esto podría implicar auditorías a fondo de los sistemas del proveedor o requerirlo para realizar una auto-evaluación completa.

Revise los contratos de largo plazo para detectar riesgos de protección de datos nuevos o en evolución

Cuando surgen nuevos riesgos (o en evolución) en materia de protección de datos personales, incluyendo modificaciones legislativas o cambios en los modelos de negocio, el Área de Protección de Datos debe contar con un proceso en marcha para analizar la necesidad de actualizar los contratos con proveedores para abordar estos riesgos. El Área de Protección de Datos puede llegar a trabajar con las áreas legales, de cumplimiento o de adquisiciones para identificar cambios contractuales que son necesarios realizar y negociar dichos cambios.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.