Cómo trabajar con un proveedor de soluciones de terceros de conformidad con el RGPD

¿Qué debo hacer si utilizo soluciones de terceros para manejar datos de conformidad con RGPD?

1. Haga una lista de todas las soluciones cloud de terceros que actualmente utiliza.

2. Planifique la ruta de sus datos durante el ciclo de vida del proceso para garantizar un nivel adecuado de seguridad en cada etapa.

3. Evalúe el nivel de riesgo que podrían sufrir las personas en caso de que sus datos se vieran comprometidos.

4. Determine si necesita nombrar a un Responsable de la protección de datos.

5. Examine todos sus contratos para comprender dónde están almacenados sus datos y aplicaciones y si alguna vez sus datos han sido procesados fuera de la UE.

6. Incluya cláusulas de estricta confidencialidad, privacidad y almacenamiento de datos en su contrato.

7. Pregunte a sus proveedores de soluciones, especialmente a aquellos con sede fuera de la UE, si cumplen con la normativa del RGPD.

8. Empieza a evaluar y planificar la idea de recurrir a proveedores de soluciones que cumplan con el RGPD si sus proveedores de soluciones actuales no tienen previsto cumplir con el RGPD para el próximo mes de mayo.

¿Puedo trabajar con soluciones de terceros fuera de la UE de conformidad con el RGPD?

Sí, mientras estas soluciones de terceros cumplan con las directrices del RGPD sobre procesamiento y almacenamiento de datos. Los datos personales solo pueden ser transferidos fuera de la UE a países que cumplan con el requisito de adecuación o cuando se pueda garantizar un nivel adecuado de protección de la privacidad por medio de Normas Corporativas Vinculantes.

¿Qué son las Normas Corporativas Vinculantes (NCV)?

Las Normas Corporativas Vinculantes son el modelo de referencia de la UE sobre la privacidad de los datos. Las NCV permiten a las empresas multinacionales transferir datos personales desde el Espacio Económico Europeo (EEE) a sus empresas afiliadas situadas fuera de este, las cuales no aseguran un nivel de protección adecuado. Las NCV deben estar en consonancia con los requisitos del grupo de trabajo del artículo 29 (sobre las NCV):

• Principios de privacidad (transparencia, calidad de datos, seguridad, etc.)

• Herramientas de eficacia (auditoría, formación, sistema de tratamiento de reclamaciones, etc.)

Para garantizar que sus NCV serán aprobadas, las empresas deben elegir una autoridad de protección de datos principal para aprobar las NCV y coordinar la aprobación de otras autoridades pertinentes de protección de datos.

Las 12 preguntas que debería hacer a sus proveedores de soluciones de terceros con respecto al RGPD

1. ¿Dónde almacenan sus datos y aplicaciones?

2. ¿Alguna vez estos datos salen fuera del EEE?

3. ¿Alguna vez transfieren datos a centros de datos que se encuentran fuera de la UE?

4. ¿Se me informa cada vez que transfieren mis datos?

5. ¿Cuentan con un Responsable de la protección de datos?

6. ¿Qué controles de datos y procesos de gestión de riesgos han puesto en práctica?

7. Para garantizar un nivel adecuado de protección de datos en su plataforma, ¿cómo gestionan el proceso de lanzamiento de la versión?

8. ¿Quién tiene acceso a mis datos, en qué circunstancias y qué datos pueden consultarse? ¿Este acceso queda registrado?

9. ¿Puedo realizar una auditoría de sus medidas técnicas y de seguridad sobre la protección de datos?

10. ¿Cuentas con un proceso de notificación en caso de brecha de seguridad?

11. ¿Cumplen actualmente con las Normativas Corporativas Vinculantes?

12. ¿Ya han tomado medidas para cumplir a tiempo con el RGPD para mayo de 2018?