Riesgo de Data Privacy en la Gestión de Terceros
Por Wilson Costa, Enterprise Cyber Risk Management [ERM] | Morphus
¿Quiénes son nuestros terceros críticos? La pregunta tiene un propósito y muestra uno de los grandes desafíos que enfrentan las organizaciones para gestionar los riesgos relacionados con los servicios tercerizados. Se suma a este desafío, el de gerenciar el tema de Data Privacy en tiempos de Ley de Protección de Datos Personales (LGPD) en Brasil y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, en un escenario común para todos, pero aún más desafiante, con las nuevas amenazas cibernéticas y pandémicas.
En este ambiente creciente de nuevas amenazas y presiones de los reguladores para el cumplimiento de las organizaciones, la gestión de riesgos de privacidad de datos de terceros adquiere una dimensión crítica y las empresas deben conocer su programa de seguridad cibernética para integrar estos nuevos riesgos y garantizar que su evaluación general los esté contemplando.
Las organizaciones/controladores y los terceros/operadores (contratados por las organizaciones), ver ítem VI y VII, respectivamente, el Art50 de la LGPD, deben llevar a cabo el tratamiento de datos personales a través de buena fe y otros principios, de los cuales se destaca el ítem “VII -Seguridad” Art60 de LGPD, que prevé el uso de medidas técnicas y administrativas para proteger los datos personales.
Para identificar si el tercero será un socio crítico en el área de privacidad de datos, las organizaciones pueden incluir en sus cuestionarios de evaluación, algunas preguntas clave relacionadas con la seguridad y el tratamiento de datos, como en el siguiente ejemplo:
- ¿El tercerizado procesará o transmitirá datos personales como parte del servicio?
- ¿El tercerizado presenta prácticas correspondientes a la LGPD, como el proceso de consentimiento, privacidad y ciberseguridad, demostrado formalmente, por ejemplo, a través de un informe de auditoría o consultoría?
Estas y otras preguntas deben colocarse dentro de la herramienta de gestión de riesgos de terceros (TPRM) de la organización. Las herramientas de tipo TPRM se basan en un proceso de riesgo, en el que se asignan puntuaciones a las preguntas, de forma que permita la clasificación del tercerizado cuanto a su criticidad para el negocio. Con base en su nivel de criticidad, las organizaciones pueden establecer el nivel apropiado de intensidad de la diligencia (due diligence) necesaria y evitar la aplicación del mismo nivel de intensidad a todos los terceros, algo que sería inviable y/o ineficaz desde el punto de vista de la gestión de riesgos y el esfuerzo a ser realizado por parte de las empresas.
Una vez clasificados, los tercerizados deben ser monitoreados y auditados regularmente y los resultados evaluados para verificar si ha habido cambios que conduzcan a la alteración de sus clasificaciones actuales.
El nivel de madurez en Data Privacy de los procesos organizacionales de las empresas, también es un factor crítico para el éxito de la gestión de riesgos de privacidad de terceros, ya que les permitirá identificar los controles existentes en sus procesos internos y, a su vez, estos controles podrán apoyar la mitigación de riesgos sobre las informaciones que serán compartidas con ellos.
Cuando el riesgo del tercerizado sea alto y, aún asi, la contratación o el mantenimiento de esta sea vital para el éxito de la organización, el tercerizado podrá desarrollar un paquete estándar de controles de privacidad, así como aumentar ese paquete con otros controles, como la ciberseguridad y el seguro sobre incidentes de privacidad de datos.
Con la entrada de LGPD, proteger los datos personales dentro del alcance de terceros, además de su propio ambiente, se convertirá no solo en un riesgo de seguridad, sino también en un riesgo legal relacionado con la privacidad de datos. Las organizaciones deben asegurarse de que este tema exista en su proceso de gestión de riesgos de terceros como parte del proceso de riesgo corporativo global.
Fuente: LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
