Noticias
<< Volver al listado de noticias
Artículo - Retos para empresas proveedoras que deben acreditar su cumplimiento
Publicado el 30-09-2022 Notícia sobre: Data Privacy Institute
CARLOS A. SÁIZ
Vice Chairman, ISMS Forum; Director, Data Privacy Institute; Attorney, Partner and Head of Governnace, Risk
Como venía diciendo en los artículos anteriores, los aspectos relativos a las relaciones con terceros se han convertido en un punto importante en la agenda de las áreas de Gestión de Riesgos en las compañías y un ítem importante a desarrollar y/o mejorar en los próximos meses.
Los “sufridores” que tienen que enfrentarse a esos procedimientos de diligencia debida son las empresas proveedoras que trabajan o tiene la expectativa de trabajar para una organización que tiene la obligación de realizar un examen de garantías de cumplimiento de manera previa a su contratación.
Desde este punto de vista, lo más habitual es que las entidades compradoras, los clientes, especialmente grandes compañías, invitan a empresas proveedoras a someterse al proceso de homologación de la compañía, donde se escrutan, entre otras cuestiones los aspectos referidos a Compliance, Protección de Datos, Ciberseguridad, Responsabilidad Social, etc.
Por otro lado, de manera poco habitual, existen grandes proveedores internacionales, especialmente en el mundo tecnológico, que tienen una posición de poder en la relación con sus clientes y donde existe poco margen de negociación de cualquier aspecto, adhiriéndose a unas condiciones generales y aceptando su estado de situación en cuanto a garantías de cumplimiento y ciberseguridad (normalmente muy altas y basadas en estándares internacionales).
Yendo a situaciones habituales, existen tantos procesos de diligencia debida diferentes como clientes, por lo que normalmente a los proveedores les llegarán formularios, peticiones de documentación, reunión de toma de datos, requerimientos de auditorías (en algunos casos), etc.
Desde el punto de vista de la empresa proveedora, para superar de la mejor manera tales procesos de diligencia debida y demostrar un alto nivel de confianza, considero que es importante:
- Reforzar internamente las áreas relacionadas con Compliance, Protección de Datos, Ciberseguridad, etc. con profesionales que lideren esas áreas, que tengan los recursos, apoyo y herramientas necesarias, y tengan una visión muy clara de la protección de los activos propios de la compañía, así como la protección de los activos de los clientes con los que contratan.
A nivel de Compliance deberán demostrar que son una empresa sólida con una cultura de cumplimiento importante y que tiene mecanismos para gestionar sus riesgos. En materia de Ciberseguridad será necesario demostrar que sus productos, herramientas, infraestructuras, servicios… cuentas con las medidas de protección adecuadas y que tienen los mecanismos necesarios para gestionar cualquier ciberincidente. En materia de protección de datos, en muchos casos, serán considerados encargados de tratamiento, lo que conlleva unas responsabilidades establecidas en la Ley y también, de manera más concreta, en el contrato de encargo de tratamiento que deberán firmar con su cliente, el responsable de tratamiento. Si bien, existe esa obligación de diligencia debida previa a la contratación, donde la empresa cliente únicamente podrá contratar con un proveedor que acredite las garantías suficientes para cumplir la normativa y medidas de seguridad necesarias.
- Dedicar tiempo y equipos a mejorar el nivel de acreditación de procedimientos y políticas para lograr más confianza en clientes. Es fundamental apoyar desde estas áreas en las labores de pre-venta de la organización, ya que, con independencia de aspectos clave como la funcionalidad de un producto o su precio, las empresas clientes se interesarán muy pronto por los temas de Compliance, Privacidad y Ciberseguridad.
Para ello, se puede trabajar en diferentes frentes:
a) Dotar a los cargos de DPO, Compliance Officer, CISO, etc. (o sus equipos) de capacidad de interlocución con clientes finales en procesos de homologación, negociación contractual, seguimiento y monitorización para trasladar una explicación del sistema de seguridad y cumplimiento que está implantado en la empresa proveedora.
b) “Paquetizar” un modelo documental que acredite todos estos aspectos. Será muy positivo cuanto más organizada esté, su orientación sea más empática con la figura del cliente y sus necesidades, más fácil de consultar sea, esté en los idiomas que normalmente se trabaje con clientes, contenga un sistema idóneo de actualización, esté muy vinculado al servicio o producto que se ofrece, etc.
c) Alinear esos programas a estándares internacionales, conocidos por todos los clientes, que permitan una interlocución más fácil, un alineamiento de sistemas de control entre diferentes normas y mayor facilidad para responder a las preguntas y solicitudes de documentación de cualquier cliente en sus procesos de diligencia debida.
d) Implantar un sistema de control que contemple el envío de actualizaciones y evidencias de cumplimiento durante el contrato. El seguimiento de los SLA por parte de muchas organizaciones es difícil de realizar y en ocasiones esa tarea queda huérfana. Cuando el proveedor se adelanta a ello y actualiza información de este tipo es bienvenida y da sensación de garantía y confort, aparte de cumplimiento normativo y/o contractual.
- Diseñar y mantener un plan de Certificaciones actuales y futuras. Las certificaciones empresariales son un instrumento útil para acreditar ante clientes que se ha implantado y auditado por un tercero un sistema de cumplimiento en muy diversas materias.
En este sentido, son muy conocidas y aceptadas, entre otras:
a) En Compliance: ISO 37301 (sistema de gestión de cumplimiento), ISO 37001 (sistemas anticorrupción), UNE 19601 (sistema compliance penal) y UNE 19602 (sistema compliance fiscal)
b) En Ciberseguridad: ISO 27001 (sistema de gestión de seguridad), ENS (Esquema Nacional de Seguridad), CSA STAR CCM (servicios de Cloud), ISO 22301 (Continuidad de Negocio)
c) En Protección de Datos: ISO 27701 (sistema gestión de privacidad) y algunas nuevas que se están gestando.
El propio RGPD, en su artículo 42 regula la promoción por parte de los Estados, las Autoridades de Control, la Comisión y el Comité, de “la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados”
Desde ISMS Forum se está trabajando en el desarrollo de una nueva certificación que verá en unos meses la luz para prestadores de servicios que tienen la categoría de encargados de tratamiento, y cuyo objetivo es facilitar y agilizar la operativa de los procesos de diligencia debida entre responsables de tratamiento y sus proveedores (encargados de tratamiento).
- Implantar a su vez un proceso de TPC para sus proveedores, que actúan como subcontrataciones (subencargados de tratamiento en el caso de protección de datos) de cara a los clientes. Es fundamental mantener el nivel de exigencia en la cadena de suministro, y cuando un proveedor da garantías a sus clientes, debe consolidar un modelo de control y diligencia debida con sus propios terceros.
Como conclusión, es importante que las empresas proveedoras preparen sus procedimientos y políticas para resultar “atractivas” también en términos de cumplimiento y ciberseguridad de cara a sus clientes. Todo ello les ayudará a un mejor cumplimiento de las normas y también a dar las necesarias garantías ante los procesos de diligencia debida de dichas empresas.
Disponible próximamente en el monografico nº9 de ISMS Forum en formato digital en nuestra web.