Skip to main content

Seminario web bajo demanda disponible próximamente

Blog

¿Son tus terceros una obligación en cuanto al cumplimiento normativo en materia de privacidad?

Localiza los eslabones débiles en toda tu cadena de suministros para garantizar la seguridad de los datos.

Katrina Dalao
Especialista sénior en marketing de contenido, CIPM, CIPP/E
7 de noviembre de 2023

Aerial view of a warehouse employee moving packages on a pallet

Con una cantidad de datos mayor, también es mayor la responsabilidad. En la actualidad, las organizaciones que recopilan, tratan, transmiten o almacenan datos personales se encuentran en el epicentro de un panorama en rápida evolución. La presión es constante a la hora de garantizar que los datos personales se traten y protejan de manera adecuada.

No solo sigue aumentando el número de normativas de privacidad y seguridad en todas las jurisdicciones del mundo, sino que el 86 % de los clientes en los EE. UU. se preocupan cada vez más por la privacidad de los datos. Según Chris Paterson, director de estrategia de gestión de riesgos de terceros en OneTrust: «en general, la concienciación de las personas sobre los posibles daños que podrían sufrir si se abusara de sus datos o se hiciera un uso indebido de estos nunca había sido tan alta».

Mantener la privacidad y la seguridad de los datos dentro de los sistemas internos ya supone todo un desafío. Pero ¿qué sucede cuando los datos están fuera de tu control directo? De media, la organizaciones trabajan con 10 terceros diferentes y cada uno de estos terceros puede estar relacionado con otras 60 o 90 partes ulteriores.

Estamos hablando de muchos eslabones. Sin embargo, independientemente de quién tenga tus datos, cualquier brecha o incidente que tenga lugar es, en última instancia, responsabilidad de tu organización.

 

Los cambios en las normativas de privacidad y seguridad, y cómo fluyen los datos a lo largo del ciclo de vida de la gestión de terceros, requieren una monitorización y supervisión constantes. ¿Cómo puedes garantizar que tu organización se mantiene protegida y cumple con la normativa?

En este respecto, Gestión de terceros de OneTrust adopta un enfoque que se centra en los datos y se basa en los riesgos para aumentar la visibilidad en todos tus interacciones con terceros. 
 

Cómo integrar la seguridad y el cumplimiento normativo en materia de privacidad de datos

Hay cientos de leyes, normativas, normas y marcos que están diseñados para ayudar a las organizaciones a la hora de gestionar correctamente los datos, y casi todos ellos incluyen ciertas directrices sobre cómo gestionar a terceros.

«Ninguno de estos marcos se centra solamente en las operaciones internas de una organización», de acuerdo con Paterson. «Requieren que cada organización que esté sujeta al marco imponga esas mismas normas y expectativas a sus terceros de manera directa».

Y esto no solo se aplica a la seguridad de los datos. También se asume un riesgo sustancial para la privacidad cuando los terceros recopilan, transmiten, tratan o almacenan datos personales.

Como resultado, el cumplimiento normativo ahora implica un delicado equilibrio entre las normas de seguridad de la información y privacidad de datos. Los dos marcos a continuación se han actualizado recientemente para que abarquen los riesgos de seguridad y privacidad:

  • Serie ISO 27000: la norma ISO 27001 se introdujo en octubre de 2005 como la primera norma de la serie ISO 27000, con objeto de certificar las políticas de seguridad de la información de las organizaciones. Por su parte, la norma ISO 27701 llegó 14 años más tarde, en agosto de 2019, y ponía el foco sobre la privacidad de los datos y el equilibrio con las normas de seguridad de la información reconocidas.
      
  • Normas del NIST: el marco de ciberseguridad del NIST se introdujo por primera vez en febrero de 2014 como un conjunto de directrices, prácticas recomendadas y normas que tenían por objeto ayudar a las organizaciones a la hora de gestionar y reducir los riesgos de ciberseguridad. Asimismo, el marco de privacidad del NIST, que llegó en enero de 2020, es decir, seis años más tarde, es un marco complementario que se centra de manera específica en la gestión de los riesgos de privacidad.

 

Seminario web bajo demanda disponible próximamente

En los EE. UU., las leyes de privacidad de datos también están empezando a incrementarse. De hecho, ya han entrado en vigor regulaciones a nivel estatal en California , Colorado , Connecticut, Iowa, Utah y Virginia, al mismo tiempo que siguen implementándose más regulaciones a lo largo de todo el país.

 

Resumen del ciclo de vida de gestión de riesgos de terceros

Antes de profundizar en las estrategias concretas de privacidad de datos, veamos primero el ciclo de vida de la gestión de riesgos de terceros.  

Según Paterson: «no hace falta decir que no existe un único formato para todos los casos, por lo que cada organización tendrá un proceso diferente». «Aunque después de haber trabajado con miles de clientes en el ámbito de la privacidad y la gestión de terceros, hemos destilado una serie de aspectos clave que las organizaciones deberían evaluar».

 

Graphic listing the different stages of the third-party risk management lifecycle and what each step consists of.

 

Fase 1: Entrada

La primera fase tiene por objeto centralizar la recopilación de toda la información de terceros, lo que elimina múltiples puntos de entrada y los posibles puntos ciegos más adelante. 

Esta centralización se puede lograr a través de un único portal de autoservicio, donde los empleados puedan solicitar que se agreguen proveedores u otras partes, o como parte de una herramienta de planificación de recursos o gestión del ciclo de vida de los contratos.

La implementación de un proceso de entrada de autoservicio proporciona a las organizaciones una ventaja a la hora de recopilar información crítica de terceros, incluidas certificaciones de privacidad, ámbito del servicio y tipos de datos. Esto ayuda a clasificar y priorizar a los terceros desde el principio, en función de su riesgo inherente para la organización.
 

Fase 2: Verificación

La segunda fase consiste en verificar y efectuar comprobaciones de diligencia debida sobre posibles terceros. Algunas preguntas que se deben hacer durante este paso serían:

  • ¿Cómo verificamos que este posible tercero no tenga una exposición política?

  • ¿Cómo comprobamos los casos de blanqueo de capitales, anticorrupción o soborno? 

Para responder a estas preguntas, las organizaciones suelen comprobar a los terceros frente a listas de sanciones, listas de seguimiento o incluso fuentes de medios de comunicación con el fin de identificar cualquier problema que pudiera suponer una relación de riesgo elevado.

En la mayoría de los casos, la gestión de riesgos de terceros va más allá de la privacidad y la seguridad de los datos. Es importante tener en cuenta todos los demás tipos de riesgos como, p. ej., el cumplimiento normativo, la ética, ASG, la geopolítica, etc., puesto que estos factores pueden tener un impacto potencial en tus actividades.

El objetivo de esta fase es descubrir cualquier riesgo que esté asociado con el tercero y, si tu organización aun así decidiera continuar con la relación, diseñar un enfoque de evaluación y mitigación adecuado.

 

Fase 3: Evaluación

De todo el ciclo de vida de la gestión de terceros, la fase de evaluación es la que requiere más tiempo y recursos. También es donde la gestión de riesgos se puede combinar con evaluaciones de privacidad y otras preocupaciones de cumplimiento normativo para una evaluación más integral.

Simplifica las evaluaciones sacando partido de herramientas dedicadas con plantillas integradas con el fin de abordar diversos dominios de riesgo, incluidos la privacidad y el cumplimiento normativo, la protección de datos y el riesgo cibernético, entre otros. 

Un Exchange de riesgos de terceros también puede brindar información prevalidada para ayudar a verificar la información que el tercero haya proporcionado.  
 

Fase 4: Revisión

Ahora es el momento de revisar toda la información clave sobre los terceros que se haya recopilado durante las fases anteriores.  

Por ejemplo, digamos que un tercero que se está revisando demuestra una postura de seguridad madura, aunque está iniciando su programa de privacidad. No puede definir de quién son los datos que está recopilando, los elementos de datos que se están recopilando ni el propósito del tratamiento de los datos. Esto supone un riesgo significativo para la privacidad de tu organización.

En función de estos hallazgos, las partes interesadas ahora pueden asignar una calificación de riesgo y un nivel de criticidad adecuados, y determinar el enfoque más adecuado para gestionar al tercero correspondiente. 

 

Fase 5: Monitorización

A medida que surgen nuevos riesgos y regulaciones, y evoluciona el ámbito del servicio de un tercero, la monitorización continua resulta fundamental a la hora de mantener una relación saludable.

La monitorización eficaz de terceros suele:   

  • Evaluar las áreas de riesgo específicas.

  • Establecer una frecuencia de evaluación recomendada.

  • Determinar qué debe incluirse en el cuestionario que se envíe a cada tercero (en función de los dominios específicos, ámbitos de negocio, y cumplimiento normativo en privacidad y seguridad). 

En palabras de Paterson: «de acuerdo con mi experiencia, esta fase es donde muchas organizaciones tienen una gran oportunidad para mejorar la eficiencia al automatizar la monitorización continua de terceros».

 

5 consejos para reducir la exposición al riesgo de terceros

A medida que tu organización continúa ampliando su red de terceros, es necesario establecer un proceso de confianza que identifique los riesgos y reduzca su exposición en todos los dominios. 

Estos son algunos de los consejos más útiles para mantener el cumplimiento normativo en materia de privacidad y seguridad en cada paso del ciclo de vida de la gestión de terceros:

 

Consejo 1: Entiende adónde van tus datos

Es posible que una organización ya gestione cientos o miles de terceros. Sin embargo, cuando se trata de datos personales, no basta con el mero control de los procesos de estos terceros. Debes realizar un seguimiento de cómo se mueven los datos desde los terceros a las cuartas partes, a las partes ulteriores, etc.

Para obtener una comprensión completa de hacia dónde van tus datos, pregunta a los posibles terceros sobre qué otras partes utilizan en sus procesos. Especialmente, esto es clave cuando se trata de operaciones complejas, tales como:

  • Transferencias transfronterizas de datos, que a menudo implican requisitos de cumplimiento normativo adicionales.

  • Terceros con un ámbito amplio de múltiples servicios, puesto que cada servicio puede involucrar diferentes tipos de datos.

  • Cualquier cosa que se agregue o cambie en lo que respecta al ámbito de un tercero requiere actualizaciones de contratos y evaluaciones.

Crea un modelo que pueda ayudar a los equipos a visualizar cada paso que den tus datos a medida que se desplacen entre las partes (tal y como se muestra abajo).

Visual model of the steps your data takes as it moves from you to third-parties and beyond.

 

Según Ashwin, «si un tercero no está dispuesto a divulgar cómo recopila y trata los datos, y no está abierto a aceptar el propósito del tratamiento que hayas establecido como parte de dicho servicio, se tratará de un riesgo definitivo para la privacidad que debes tener en cuenta». «Realiza tu diligencia debida y cuantifica el riesgo del tercero para la organización. Al final, se trata de una decisión empresarial que tienes que tomar como equipo o a nivel de organización».

 

«Si no haces la pregunta, nunca sabrás la respuesta. Muchos terceros no divulgarán información sobre ciertos aspectos clave a menos que se lo pidas de forma explícita».

 

Chris Paterson, Director de estrategia, Gestión de terceros de OneTrust

 

Consejo 2: Adapta los flujos de trabajo en función del impacto del riesgo

No todos los riesgos de terceros son iguales. Sin embargo, muchas organizaciones envían la misma evaluación de carácter genérico con miles de preguntas a cada uno de sus terceros.

¿Y cuál es el resultado? Una falta de motivación y tedio entre los terceros que tienen que aportar la información, así como entre los equipos internos que tienen que contestar.

Un enfoque más adecuado es evaluar los riesgos de terceros por dominio. «Tanto si se trata de privacidad, seguridad u otra cosa, muchas organizaciones ven éxito cuando ramifican sus flujos de trabajo y cuantifican el riesgo de una forma que realmente ayuda a comprender la fuente del riesgo inherente», según explica Paterson.

Con el simple hecho de preguntar qué es relevante para un tercero en particular, estás creando un proceso de evaluación muchísimo más sencillo y ofreciendo respuestas más precisas y exactas.

Bar showing that third-party risk can come in a spectrum, from low risk to how risk.

 

Consejo 3: Saca partido de la subcontratación para acabar con las barreras

La subcontratación es uno de los aspectos más críticos a la hora de crear un programa de gestión de terceros. 

«Normalmente, lo que se suele ver en muchas organizaciones es que los equipos que trabajan en la subcontratación de servicios y los que trabajan en la protección, seguridad y cumplimiento normativo de los datos suelen trabajar por separado y de forma independiente. A menudo, ven al otro equipo como un incordio a la hora de realizar su propio trabajo», según explica Paterson. «Sin embargo, debemos pensar en cómo integrar de verdad los conceptos que garantizan que los datos de un lado se trasvasen con claridad al otro».

Un contrato integral proporciona información clave a todas las partes interesadas. Por ejemplo, la gestión del ciclo de vida del contrato priorizará las obligaciones contractuales de la tercera parte. Por otro lado, la gestión de terceros examinará los tipos de controles de riesgo y seguridad, mientras que la privacidad se centrará en las políticas de protección y retención de datos.

Al garantizar que un contrato de terceros cubre todas estas preocupaciones, las organizaciones pueden mitigar mejor los riesgos asociados con las relaciones con terceros.

 

Graphic of two lists showing the steps included in contract lifecycle management and third-party risk management.

 

Consejo 4: Prepárate para lo inesperado

Uno de los errores más comunes en la gestión de riesgos de terceros es gastar la mayoría de los recursos en la evaluación y la incorporación de terceros, y dejar muy pocos para la gestión continua de estos. Sin embargo, la gestión es potencialmente la fase más larga del ciclo de vida de cualquier tercero, además de resultar fundamental para mitigar los riesgos a largo plazo.

Prepara a tu organización para lo inesperado creando protecciones con tus terceros. Algunos ejemplos de buenas prácticas son:

  • Organizar todos los datos en un único inventario, donde los equipos de privacidad, seguridad y terceros puedan acceder y comprender todo dentro del ámbito correspondiente.

  • Alinear a las partes interesadas de los equipos involucrados para que compartan información que pueda ayudar a lograr objetivos comunes con mayor facilidad.

  • Realizar un ejercicio de simulación teórica con los terceros que sean críticos para comprender qué sucedería si sufrieran una brecha.

  • Revisar cualquier cambio potencial que pudiera afectar la exposición frente a riesgos de tu organización y perfeccionar de manera continua las prácticas de gestión de terceros que se hayan establecido.

 

List of ways an organization can prepare for unexpected data breaches, regulatory rulings, and other abnormal events.

«Lo principal es liberar más tiempo para que los equipos de privacidad y gestión de terceros puedan interactuar directamente con los terceros a lo largo de su ciclo de vida, en lugar de intentar avanzar todo el trabajo con respecto a los componentes de identificación de riesgos».

 

Chris Paterson, Director de estrategia, Gestión de terceros de OneTrust

 

Consejo 5: Identifica las áreas para una automatización más sencilla

Graphic showing the areas where automation can help streamline the third-party risk management lifecycle: Intake, screening, assessment, review, monitoring, and analysis.

 

Al igual que con cualquier proceso rutinario, la automatización puede ayudar en gran medida a agilizar las operaciones y reducir el esfuerzo manual que resulte innecesario. Dicho esto, estas son las oportunidades clave para la automatización en cada fase del ciclo de vida de la gestión de terceros:

  • Entrada: automatiza la recopilación de datos a través de un portal de autoservicio, que pueden utilizar los equipos para solicitar un nuevo servicio de tercero o ver los detalles de los terceros existentes.

  • Verificación: saca partido de la automatización para realizar la diligencia debida inicial, comprobar posibles sanciones gubernamentales y listas de seguimiento, y efectuar análisis de datos para cada tercero potencial.

  • Evaluación: implementa inteligencia de flujos de trabajo para identificar de forma automática lagunas o riesgos, desencadenar las respuestas adecuadas en función del contenido recibido y recopilar datos para facilitar la toma de decisiones a escala.

  • Revisión: crea y asigna tareas de forma automática a los equipos pertinentes con objeto de realizar revisiones de terceros de acuerdo con las respuestas a cuestionarios y otros datos recopilados.

  • Monitorización: implementa sistemas automatizados de detección y alerta de amenazas que notifiquen a los equipos sobre cualquier problema o cambio en el perfil de riesgo del tercero.

  • Análisis: utiliza herramientas de análisis de datos para identificar tendencias entre terceros de forma automática y generar informes y análisis sobre riesgos para las partes interesadas.

 

Cómo priorizar la privacidad de los datos en la gestión de terceros

A medida que las organizaciones continúan aumentando su uso de terceros, y en consecuencia, la exposición de sus datos frente a riesgos, resulta fundamental que la privacidad y la gestión de terceros se traten como una disciplina conjunta. Los equipos de privacidad ofrecen una capa adicional de protección de datos a la gestión de terceros actual que pone el foco sobre los riesgos, las normativas y los controles de seguridad.

Además, los consejos que se han mencionado con anterioridad también pueden ayudar a alinear a los equipos en cada fase del ciclo de vida de gestión de terceros. Al centralizar todos los datos de terceros y utilizar la automatización para simplificar el proceso, un programa de privacidad y gestión de terceros bien integrado facilita el cumplimiento normativo, mantiene la confianza y garantiza la integridad de los datos.

 

Reduce el riesgo, genera confianza y mejora la resiliencia empresarial unificando la gestión de terceros en materia de privacidad, seguridad, ética y ASG. Programa una demostración hoy mismo.

 
 


También podría interesarte:

Seminario web

GRC y garantía de seguridad

Cumplimiento de NIS2: cómo resolver los retos de la normativa con una demostración práctica

Acompáñanos en esta sesión dónde repasaremos los principales requisitos de la normativa NIS2 y su impacto. Además, podrás asistir a una demostración práctica y conocer cómo OneTrust te ayuda a resolver los retos de gobernanza, gestión de riesgos y terceros, gestión de incidentes y cumplimiento asociados a la normativa.

noviembre 26, 2024

Aprende más

Seminario web

Riesgos de terceros

DORA y sus estándares: una sesión práctica con OneTrust y Deloitte

Acompáñanos el próximo 24 de abril a esta sesión y descubre como OneTrust y Deloitte facilitan la adopción de DORA y sus estándares asociados en una sesión práctica donde veremos desde la Gestión de Riesgos y la Gestión de Incidentes, hasta el Registro de Información de la cadena de suministro.

abril 24, 2024

Aprende más

Seminario web

Riesgos de terceros

Secretos del éxito en la gestión de terceros: controlar la diligencia debida y la gestión de riesgos

Dominar el arte de la diligencia debida y la gestión de riesgos y cómo armonizarlos para maximizar su eficacia. 

junio 08, 2023

Aprende más

Blog

Inteligencia para la confianza

OneTrust presenta innovaciones para habilitar el uso responsable de los datos y el trust intelligence a gran escala

OneTrust anuncia nuevas innovaciones dentro de su plataforma de Trust Intelligence para ayudar a las empresas a utilizar los datos de forma responsable y desarrollar inteligencia de confianza a escala.

mayo 23, 2023 5 minutos de lectura

Aprende más

Blog

Riesgos de terceros

¿Por qué elegir OneTrust para la gestión de terceros?

abril 13, 2023 6 minutos de lectura

Aprende más

Seminario web

Riesgos de terceros

Academia RGPD: Los riesgos de terceros

En la tercera sesión de la Academia RGPD hablaremos sobre los riesgos de proveedores (y empleados), crítico en los programas de privacidad. 

diciembre 22, 2022

Aprende más

Testimonio de cliente

Riesgos de terceros

PUMA optimiza el cumplimiento normativo con la gestión ágil de riesgos de terceros

La marca deportiva internacional reinventa la gestión de riesgos de terceros con un enfoque colaborativo en toda la organización.

Aprende más