domingo, 15 de diciembre de 2013

Si yo fuera su Data Protection Officer (III)

Dedicaremos el post de hoy a la gestión de proveedores con acceso a datos (ya saben, esos que los entendidos en la materia llaman "encargados del tratamiento").

El artículo 20.2 del reglamento de desarrollo de la LOPD dispone que el responsable del fichero deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la normativa de protección de datos. Es decir, Usted, responsable del fichero, no puede externalizar con cualquiera los servicios que impliquen tratamiento de datos de carácter personal, sino que está obligado a elegir con diligencia a sus proveedores.

Imaginemos, por ejemplo, que la empresa A contrata una campaña de marketing con una agencia especializada. La agencia es muy buena en lo suyo, pero no se puede decir que cumpla la normativa de protección de datos de forma satisfactoria, ni que haya implantado una cultura de seguridad entre sus empleados.

La empresa A entrega a la agencia un fichero que contiene registros de aproxiamdamente 50.000 clientes, todos ellos personas físicas (domicilio postal, teléfono móvil, ocupación, nivel de ingresos, e-mail,...). La agencia almacena estos datos en un servidor en la nube, sin comunicárselo a la empresa A, porque no lo considera importante. Esta tercera compañía está situada en Corea, y aunque la agencia no lo sabe, está a punto de quebrar e interrumpirá el servicio de cloud en tres meses.

La Agencia no se molesta en destruir los ficheros que le entregan al finalizar las campañas, aunque firme un contrato en el que dice que lo hará. Además sus empleados, que trabajan con portátiles, tienen copias en sus equipos de las bases de datos con las que trabajan. La agencia no ha establecido ninguna norma sobre uso de portátiles. Los trabajadores los sacan de la compañía todos los días y los utilizan para fines personales (ver vídeos, descargar música, etc...ya saben, son muy creativos). La agencia no tiene documento de seguridad ni nada parecido.

Aunque le parezca un poco exagerado lo que le acabo de contar, le sorprendería saber lo común que resulta encontrarse estas situaciones en la subcontratación de servicios. El art. 20.2 del RLOPD está pensado para que el responsable del fichero no se desentienda cada vez que contrata con un tercero, tras firmar un acuerdo que se repite textualmente el art. 12 LOPD. En definitiva, como decía, existe una obligación de diligencia en la elección del proveedor con acceso a datos, y también un deber de control sobre los tratamientos que realiza por cuenta nuestra durante el tiempo que dure el servio.

Si yo fuera su Data Protection Officer, me preocuparía por implantar dentro de la organización protocolos y políticas dirigidos a controlar a los encargados del tratamiento significativos, especialmente si su trabajo se realiza fuera de las instalaciones del responsable (por ejemplo, las empresas que realizan tareas de gestión documental, las que prestan servicios de hosting o de mantenimiento informático, etc).

Aquí van algunos consejos útiles para desarrollar esta tarea:

1º. Si se plantea subcontratar un servicio clave en el tratamiento de datos de carácter personal, exija garantías a los proveedores de que cumplen la LOPD y de que han implantado medidas de seguridad adecuadas.

¿Qué tipo de garantías podemos exigir? Dependerá del caso concreto. A veces, conviene solicitar que nos faciliten una copia del documento de seguridad, en aquellos aspectos que afecten a los datos responsabilidad de nuestra empresa que almacenarán en sus sistemas. En otros casos, podemos requerirles un certificado de sus auditores en el que figure la última fecha de auditoría de seguridad efectuada y el grado de cumplimiento de la compañía. Tampoco está de más seleccionar proveedores con certificaciones (por ejemplo, la ISO 27001).

Por otro lado, podemos poneernos en contacto con su responsable de seguridad o su DPO y pedir que nos haga el típico tour por las instalaciones (por ejemplo, si se trata de una empresa que facilita servicio de alojamiento de datos, esto último, me parece una opción más que apropiada).

En fin, cada vez resulta más frecuente utilizar cuestionarios en los que se incluyen preguntas relativas a protección de datos y que se piden que se entreguen con las propuestas de prestación de servicios. Estos cuestionarios se valoran como un requisito más de la oferta. Recuérdenme que mañana les escriba un post con las preguntas que yo incluiría en este cuestionario.

Por último, siempre hay comprobaciones que podemos hacer sin que el prestador de servicios colabore con nosotros, como consultar en el registro de la AEPD que el proveedor ha registrado sus ficheros, mirar su página web y verificar si incluye política de seguridad,o comprobar si ha sido sancionado alguna vez por la Agencia.

Desde luego, no les recomiendo hacer esto con proveedores que realizan un tratamiento circunstancial de datos personales, pero sí con los encargados del tratamiento críticos.

2º. Deje constacia de todas las verificaciones que efectúe. Archive la documentación que examine a la hora de elegir un prestador y prepare un breve informe. No se trata de generar burocracia, sino registros útiles, que nos servirán de prueba en caso de resultar necesarios y darán visibilidad al trabajo que realizamos dentro de la compañía.

3º. Revise sus contratos de encargado del tratamiento. No basta con repetir lo que indica el art. 12 LOPD. Añada obligaciones concretas y adaptadas al tipo de servicio que efectúa el prestador.

4º. Realice un seguimiento del cumplimiento de las obligaciones previstas en el contrato y del tratamiento de datos que efectúa su proveedor. Por ejemplo, si solicitan que los datos se destruyan a la finalización del servicio, y que el proveedor no se quede con ninguna copia, qué menos que pedir un certificado de destrucción a la empresa.

5º. Mantenga una relación fluida con el Responsable de Seguridad o el Data Protection Officer de sus proveedores: Muestre interés por conocer los logros o el compromiso de la compañía con la seguridad de la información. Si se trata de una empresa seria, estarán encantados de atenderle y promocionar sus servicios. Además, contar con personal formado en la materia y haber asignado responsabilidades específicas siempre es una garantía, ¿no les parece?

¿Qué más les puedo decir? Se lo he dejado bastante claro. No obstante, si tiene dudas y busca un Data Protection Officer con el CIPP/E y buena figura, póngase en contacto conmigo. Siempre he querido ser DPO de mayor.

Buenas tardes.

No hay comentarios: