En el entorno empresarial tan interconectado de hoy en día, todas las empresas confían en un ecosistema de proveedores. Estas relaciones con terceros pueden impulsar el valor comercial, pero también generan riesgos. Por eso, las empresas están designando cada vez más equipos de gestión de riesgos de terceros para evaluar y mitigar el riesgo de terceros en toda la empresa.

El riesgo de terceros puede provocar brechas de datos, interrupciones en la cadena de suministros, medios adversos y otros sucesos que ocasionen daños a la reputación de la empresa. Los directores ejecutivos y otros ejecutivos sénior necesitan tener visibilidad sobre estos riesgos a nivel organizativo, y una estrategia de gestión de riesgos de terceros unificada puede ser el catalizador necesario.

Incluso en los casos donde un equipo de gestión de riesgos de terceros dedicado supervisa el riesgo en toda la empresa, también hay otros equipos con un papel importante que desempeñar. De hecho, líderes empresariales como el delegado de protección de datos deben fomentar la colaboración y el intercambio de información entre sus equipos y el equipo de gestión de riesgos de terceros. Es mutuamente beneficioso que los equipos de privacidad y de gestión de riesgos de terceros colaboren, puesto que ambos equipos podrán compartir información y conocimientos clave que podrían ayudar a alcanzar sus objetivos comunes.

Asimismo, empresas de todos los tamaños están pasando rápidamente de la gestión del riesgo de terceros a la gestión integral de terceros. Consulta este libro electrónico para saber más.

¿Cómo afecta el riesgo de terceros al equipo de privacidad?

Muchas veces, cuando tu organización colabora con un tercero, estás renunciando a cierto grado de control sobre tus datos, incluidos los datos personales de carácter sensible de tus clientes. En última instancia, tu organización es responsable de cómo los terceros gestionan esos datos. Cualquier tipo de brecha de datos perjudica la reputación de la empresa, incluso si el tercero fue el culpable de ello en última instancia.

Lo mismo puede decirse de los requisitos de cumplimiento normativo. Muchas normativas de privacidad de datos, incluido el Reglamento General de Protección de Datos (RGPD) en Europa y las normativas estatales de California, Colorado, Connecticut, Utah y Virginia, incluyen requisitos que están relacionados con el riesgo de terceros, lo que significa que todas las organizaciones podrían ser responsables desde el punto de vista jurídico si sus terceros no están tratando la información confidencial de forma correcta. Para demostrar el cumplimiento normativo de estos requisitos, las empresas necesitan una colaboración efectiva entre los equipos de privacidad de datos y gestión de riesgos de terceros.

Por ejemplo, muchas normativas de privacidad de datos incluyen el requisito de cumplir con las solicitudes de «no vender ni compartir mis datos». Este requisito se aplica tanto a los responsables del tratamiento, las organizaciones que comparten los datos, como a los encargados del tratamiento, los terceros que tratan los datos de parte de los responsables. Para garantizar que todos los encargados del tratamiento cumplen con las solicitudes a medida que van llegando, los equipos de privacidad de datos deben saber qué terceros tienen acceso a los datos de los clientes y cómo los utilizan. En resumen, los equipos de privacidad de datos y gestión de riesgos de terceros deben estar bien coordinados.

Para protegerse contra los riesgos y abordar los desafíos que se han mencionado anteriormente, los equipos de privacidad de datos utilizan un proceso que se denomina registro de actividades de tratamiento para recopilar la información esencial que necesitan para responder a preguntas clave sobre sus datos, entre las que se incluyen:

• ¿Con quién comparte datos la organización? 
• ¿Qué datos comparte la organización y con qué propósito? 
• ¿Adónde se dirigen los datos? Si los datos se están transfiriendo a través de fronteras, eso podría generar desafíos de cumplimiento normativo adicionales.
• ¿Qué controles de privacidad utilizan los terceros para proteger los datos?

El registro de actividades de tratamiento puede ser complejo y consumir mucho tiempo debido al volumen extremadamente alto de datos que las organizaciones tratan a partir de diversas fuentes de datos. La buena noticia es que muy pocos equipos de privacidad están empezando desde cero. Las leyes de privacidad que requieren el registro de las actividades de tratamiento ya llevan en vigor varios años. Por ejemplo, es muy probable que cualquier empresa que haga negocios con ciudadanos de la Unión Europea ya tenga implementado un registro de actividades de tratamiento, puesto que habrían tenido que crear uno cuando el RGPD entró en vigor por primera vez.

Los equipos de privacidad pueden compartir sus registros de actividades de tratamiento con objeto de ofrecer información beneficiosa para el trabajo que está haciendo el equipo de gestión de riesgos de terceros. Por ejemplo, puede ser muy útil que el equipo de gestión de riesgos de terceros sepa en qué actividades de tratamiento están involucrados los terceros. Cuando un único tercero está a cargo de varios servicios, el negocio podría tener múltiples compromisos con dicho tercero, con actividades de tratamiento de datos específicas para cada servicio. Este tipo de complejidad puede ser difícil para el equipo de gestión de riesgos de terceros a la hora de llevar un seguimiento. Una vez más, el equipo de privacidad puede ayudar con este trabajo al compartir información del registro de actividades de tratamiento.

¿Cómo pueden ayudar los equipos de riesgos de terceros a los equipos de privacidad?

Al igual que el equipo de privacidad puede respaldar al equipo de riesgos de terceros a la hora de compartir el registro de actividades de tratamiento, el equipo de riesgos de terceros puede ayudar al equipo de privacidad compartiendo información de su inventario de terceros. La mayoría de los equipos de riesgos de terceros ya disponen de un inventario completo de los terceros con los que trabaja actualmente la organización, y seguirán actualizando dicho inventario cada vez que incorporen nuevos terceros.

El inventario incluye información que se ha recopilado durante las fases iniciales de diligencia debida, evaluación y monitorización del ciclo de vida de la gestión del riesgo de terceros. Parte de esta información, como los detalles sobre de qué garantías de protección de datos y ciberseguridad dispone un tercero en particular, podría ser directamente beneficiosa para el trabajo que está haciendo el equipo de privacidad de datos. Compartir esta información libremente ayuda a ambos equipos a la hora de trabajar hacia su objetivo común: mitigar el riesgo de terceros.

Muchas leyes de protección de datos exigen que las organizaciones realicen evaluaciones de riesgos de privacidad, también denominadas evaluaciones del impacto sobre la privacidad. Realizar una evaluación de impacto sobre la privacidad ayuda al equipo de privacidad a comprender dónde puede estar poniendo en riesgo la información confidencial de los clientes y a crear una estrategia para mitigar dicho riesgo. El equipo de privacidad puede utilizar los datos e información clave que obtenga a partir de las evaluaciones de riesgos de terceros para ayudar a informar y optimizar sus propias evaluaciones de riesgo.

Por último, el equipo de gestión de riesgos de terceros puede tomar la iniciativa a la hora de automatizar los flujos de trabajo de privacidad. Además de simplificar la incorporación de terceros, la automatización de flujos de trabajo puede ayudar a garantizar la colaboración continua entre el equipo de gestión de riesgos de terceros y el equipo de privacidad de datos. Por ejemplo, siempre que una revisión automatizada de terceros indique que un proveedor concreto puede no disponer de las protecciones de privacidad de datos adecuadas, el flujo de trabajo se podrá configurar para que comparta dicha información de manera automática con el equipo de privacidad de datos, lo que garantizará que conozcan el riesgo potencial tan pronto como se identifique.

¿Cómo puede ayudarte OneTrust?

OneTrust Privacy Automation se puede utilizar junto con OneTrust Third-Party Risk Management para crear una plataforma unificada con el fin de gestionar la privacidad y los riesgos de terceros. Al permitir la colaboración efectiva entre estos dos equipos, la OneTrust Platform ayuda a que todos los miembros del equipo puedan obtener la información y el conocimiento clave que necesitan para comprender correctamente las vulnerabilidades a las que se enfrenta la organización, tomar las medidas necesarias para garantizar el cumplimiento de cientos de regulaciones de privacidad de todo el mundo y continuar generando confianza y ofreciendo transparencia a los clientes.

Si quieres ver con tus propios ojos cómo OneTrust puede ayudar a tu organización a la hora de administrar el riesgo de terceros, solicita una demostración individual hoy mismo.