Problemática
Muchos de los procesos y actividades empresariales son llevados
a cabo, de facto, por terceras organizaciones...
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580...
Próxima SlideShare
Cargando en…5
×

Gobierno de la protección de Datos: supervisión y control de proveedores

146 visualizaciones

Publicado el

Grupo SIA presenta la solución para la correcta protección de datos también por parte de los proveedores. Muchos de los procesos y actividades empresariales son llevados a cabo, de facto, por terceras organizaciones bajo la figura de la prestación de servicios, lo que supone, en cierta manera, una pérdida de control directo por parte de las organizaciones responsables de dichos procesos y actividades sobre los activos de información en los que se sustentan aquéllos y, por lo tanto, sobre su efectiva protección.
Esta problemática se acentúa especialmente cuando el tratamiento de la información se lleva a cabo en entornos ajenos al control de la Organización.

Publicado en: Derecho
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
146
En SlideShare
0
De insertados
0
Número de insertados
0
Acciones
Compartido
0
Descargas
8
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Gobierno de la protección de Datos: supervisión y control de proveedores

  1. 1. Problemática Muchos de los procesos y actividades empresariales son llevados a cabo, de facto, por terceras organizaciones bajo la figura de la prestación de servicios, lo que supone, en cierta manera, una pérdida de control directo por parte de las organizaciones responsables de dichos procesos y actividades sobre los activos de información en los que se sustentan aquéllos y, por lo tanto, sobre su efectiva protección. Esta problemática se acentúa especialmente cuando el tratamiento de la información se lleva a cabo en entornos ajenos al control de la Organización. Así, para mitigar el riesgo de una inadecuada protección de dichos activos de información, se hace necesario establecer y monitorizar una serie de controles a lo largo del ciclo de vida de la relación con los prestadores de servicios, desde su elección, hasta la finalización de la relación contractual mantenida. En el ámbito concreto de los activos de información que contienen datos de carácter personal, tanto el propio Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, en su artículo 20, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en su artículo 28.1, exigen que las organizaciones responsables velen por que los prestadores de servicios con acceso a datos de carácter personal (comúnmente conocidos como “encargados del tratamiento”) reúnan garantías suficientes para el adecuado cumplimiento de lo dispuesto en las mencionadas regulaciones. Es lo que la doctrina del Tribunal Supremo viene denominando como responsabilidad “in eligendo” e “in vigilando”. El incumplimiento de dicha exigencia, al margen de elevar el riesgo de una inadecuada protección de la información de la compañía por Gobierno de la protección de datos: supervisión y control de proveedores. Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 parte de los prestadores de servicio con acceso a la misma, comporta la posibilidad de incurrir en un incumplimiento de la regulación sobre protección de datos de carácter personal, lo que podría acarrear la imposición de cuantiosas sanciones por parte de la autoridad de control pertinente. Descripción de la solución La solución planteada por Grupo SIA para abordar la problemática indicada anteriormente se integra por una serie de elementos, dispuestos en torno a las fases del ciclo de vida de la relación con los prestadores de servicios: • Elección: Evaluación de la solvencia en materia de seguridad de la información de los prestadores de servicios, mediante el análisis pormenorizado de la información y documentación asociada a los diferentes activos y recursos destinados al tratamiento de la información. • Formalización: Análisis y propuesta de cláusulas contractuales con el fin de regular adecuadamente, entre otros, los aspectos sobre protección de datos de carácter personal, confidencialidad y seguridad de la información. • Operación: Control del cumplimiento, por parte de los prestadores de servicios, de los requisitos periódicos definidos, mediante el análisis de las evidencias aportadas. • Finalización: Control del cumplimiento, por parte de los prestadores de servicios, de los requisitos específicos concernientes a la devolución y destrucción de los activos de información manejados. Las actuaciones indicadas en las anteriores fases podrán complementarse con la realización de auditorías bajo modalidad presencial. Elección – Formalización – Operación - Finalización
  2. 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 Detalle de la fase de operación Para controlar el cumplimiento de los requisitos por parte de los prestadores de servicios, Grupo SIA ha desarrollado una solución basada en el siguiente proceso: 1.- Cada prestador de servicio (o grupo de prestadores de servicios), en función de una serie de criterios, tiene asociado un conjunto de requisitos cuyo cumplimiento ha de acreditar con una determinada periodicidad. 2.- La solución definida remite periódicamente a cada prestador de servicio (o grupo de prestadores de servicios) una o varias notificaciones electrónicas que indican la necesidad de acreditar en un espacio de tiempo el cumplimiento de uno o varios de los requisitos establecidos. 3.- Las notificaciones electrónicas incluyen enlaces a diferentes formularios web convenientemente securizados, y caracterizados en función del o de los requisitos cuyo cumplimiento pretenda acreditarse. 4.- Los formularios web incluyen una serie de campos tabulados donde el prestador de servicio ingresa la información relacionada con el cumplimiento del o de los requisitos de que se trate, así como funcionalidades para la subida de documentos que acrediten, a modo de evidencia, su efectivo cumplimiento. 5.- La información ingresada en los formularios web por parte de los prestadores de servicios, así como la documentación adjuntada, pasa a almacenarse en una base de datos donde la persona de la Organización sobre la que recaiga el rol de validador, analiza su conformidad. 6.- La falta de conformidad desencadena el envío de nuevas notificaciones electrónicas. 7.- Un cuadro de mando permite a las personas de la Organización en quienes recaiga el rol correspondiente conocer el estado de cumplimiento de los requisitos por parte de los diferentes prestadores de servicios. Beneficios La solución desarrollada por SIA aporta a las organizaciones, entre otros, los siguientes beneficios: • Automatización y centralización de las funciones de supervisión y control. • Minimización del riesgo de sanción por incumplimiento de los prestadores de servicios. Servicios relacionados Adecuación LOPD Concienciación Privacidad Auditoría Regl. LOPD Herramienta Adecuación Regl. Europeo Análisis de Impacto a la Privacidad (PIA) Data Privacy Officer (DPO) Supervisión Encargados del Tratamiento SATEL® Actuaciones y procesos AEPD servicios asociados a la pdcp

×