Gartner alerta de la necesidad de revisar el tratamiento de los datos y los contratos establecidos con proveedores para evitar incumplir lo establecido en el nuevo reglamento RGPD y evitar las posibles multas.
A pesar de la entrada en vigor del nuevo reglamento para la protección de datos, y de las consecuencias que conlleva su incumplimiento, aún hay muchas organizaciones que no cumplen con lo establecido. Una de las principales causas es que no han auditado adecuadamente el tratamiento de los datos en las relaciones que mantienen con sus proveedores. Esto hace necesario que los responsables de compras y gestión con proveedores revisen todos los contratos de TI para minimizar los posibles riesgos financieros y de reputación.
Desde Gartner apuntan que se trata de un tema crucial y de la necesidad de tener claro quien tiene este rol respecto al manejo de los datos. En RGPD, hay dos roles clave identificados: los controladores de datos y los procesadores de datos. A estas alturas desde la entrada en vigor de este nuevo reglamento, los responsables de compras y gestión con los proveedores deben ser la primera línea de defensa para las organizaciones cuyos socios y proveedores procesan los datos de los residentes de la UE en su nombre.
Para Yanni Karalis, director de investigación de Gartner, tener identificados los procesos comerciales es esencial para el cumplimiento normativo.
Los controladores de datos son los clientes de los procesadores de datos en cualquier actividad específica que trata datos personales de los ciudadanos de la UE y estos roles pueden cambiar dependiendo de la actividad.
En opinión de Karalis, se trata de un aspecto fundamental ya que si el controlador ha elegido procesadores que no cumplen con RGPD, están corriendo el riesgo de ser sancionados por una cantidad que va desde el 4% de sus ingresos anuales hasta los 20 millones de euros.
Y es que el nuevo reglamento de RGPD impone nuevos requisitos a los procesadores de datos, entre los que destacan la obligación de procesar datos personales solo bajo instrucciones del controlador, informar al controlador si cree que se está infringiendo el reglamento, notificar a los controladores de datos sobre violaciones de datos y restringir la transferencia de datos personales a un tercer país, a menos que haya garantías legales.
Para Gartner, desde el primer momento en el que se tengan dudas sobre el cumplimiento por parte de los proveedores de los requisitos de RGPD, se debe rectificar la situación de inmediato y actualizar los procesos para garantizar que se incorporan los requisitos del reglamento.
Seis claves para el cumplimiento de RGPD
Desde Gartner apuntan una serie de aspectos a tener en cuenta para que los responsables del tratamiento de los datos en las organizaciones fijen los requisitos en torno a RGPD en las negociaciones contractuales.
Definiciones. Asegurarse de que lo que está definido en el contrato refleja lo que establece el RGPD.
Infracciones de datos. Si se produce una violación de los datos, el proveedor debe notificarlo inmediatamente. El fabricante debe estar obligado a cooperar, investigar y solucionar la situación. También debe ayudar con cualquier notificación requerida y trabajar con las autoridades apropiadas.
Seguridad de los datos. Evaluar si necesita usar medidas especiales, como el cifrado, y considerar si necesita implementar la protección de datos desde el diseño.
Procesamiento de datos. Configurar el procesamiento de datos del proveedor para permitir el cumplimiento de las solicitudes de los asuntos de datos. Por ejemplo, toda la información necesaria para demostrar el cumplimiento de un proveedor con sus obligaciones de procesamiento deben estar disponibles y todas las actividades de procesamiento de datos que haga un proveedor deben estar documentadas.
Cooperación del fabricante. El proveedor debe respaldar cualquier auditoría que realice o que un tercero realice en su nombre para verificar el cumplimiento de RGPD.
Tratando con multas. Según el perfil de riesgo del fabricante, considerar si es necesario modificar las indemnizaciones para que el proveedor sea el responsable del incumplimiento de la legislación.
Ser explícito sobre lo que se necesita de los proveedores es fundamental, además de explicar las implicaciones de las cláusulas de RGPD a las partes interesadas.
