Gartner recomienda ajustar los métodos de adquisición de TI para evitar multas GDPR

  • Seguridad Inteligente

Gartner asegura que muchas organizaciones aún no cumplen con la legislación GDPR, a pesar de que ha estado en vigor desde mayo de 2018. Esto se debe a que no han auditado adecuadamente el manejo de datos dentro de sus relaciones con los proveedores. Los líderes de compras y administración de proveedores (SVM) deberían, por lo tanto, revisar todos los contratos de TI para minimizar los posibles riesgos financieros y de reputación.

"Los líderes de SVM son la primera línea de defensa para las organizaciones cuyos socios y proveedores procesan los datos de los residentes de la UE en su nombre", dijo Yanni Karalis, director de investigación de Gartner. "Si no tiene claridad sobre el rol de su organización con respecto al manejo de datos personales, debe abordar esto urgentemente".

Hay dos roles clave identificados en el GDPR: controladores de datos y procesadores de datos. Con GDPR ya en vigencia, los líderes de SVM ya deberían haber identificado los procesos comerciales respaldados por proveedores que resultan en el proveedor o la organización que opera como controlador o procesador de datos ciudadanos o residentes de la UE.

"Los controladores de datos son los clientes de los procesadores de datos en cualquier actividad específica que maneja los datos personales de los ciudadanos de la UE, y estos roles pueden cambiar dependiendo de la actividad", dijo Karalis. "Si el controlador ha elegido procesadores que no cumplen con el GDPR, están arriesgando sanciones por su organización de hasta el cuatro por ciento de los ingresos anuales o € 20 millones".

GDPR impone muchos requisitos en los procesadores de datos. Estos requisitos incluyen la obligación de procesar datos personales solo bajo instrucciones del controlador, informar al controlador si cree que dicha instrucción infringe el GDPR, notificar a los controladores de datos sobre violaciones de datos sin demoras indebidas y restringir la transferencia de datos personales a un tercer país a menos que se obtengan salvaguardas legales.

"Si no está seguro de que sus proveedores cumplan con todos los requisitos GDPR, debe rectificar la situación de inmediato", dijo Karalis. "Una vez que se han asegurado las relaciones existentes, debe comenzar a actualizar los procesos de adquisición para garantizar que los requisitos de GDPR estén incorporados para el futuro".

La siguiente lista no exhaustiva es un excelente punto de partida para que los líderes de SVM establezcan expectativas y requisitos en torno a GDPR en las nuevas negociaciones contractuales:

Definiciones Asegúrese de que las definiciones en sus contratos reflejen las definiciones revisadas en el GDPR.

Infracciones de datos. Si se produce una violación de datos, el proveedor debe notificarle sin demora después de conocer la infracción. El vendedor debe estar obligado a cooperar, investigar y remediar la violación. El vendedor también debe ayudar con cualquier notificación requerida y trabajar con las autoridades apropiadas.

Seguridad de datos. Evalúe si necesita usar medidas especiales, como el cifrado. Considere si necesita implementar "protección de datos por diseño".

Procesamiento de datos. Configure el procesamiento de datos del proveedor para permitir el cumplimiento de las solicitudes de los sujetos de datos. Por ejemplo, toda la información necesaria para demostrar el cumplimiento de un proveedor con sus obligaciones de procesamiento debe estar disponible para usted. Todas las actividades de procesamiento de datos que realice un proveedor para usted deben estar documentadas.

Cooperación del vendedor El proveedor debe respaldar cualquier auditoría que realice o que un tercero realice en su nombre para verificar el cumplimiento de la GDPR del proveedor. El proveedor debe soportar cualquier evaluación de impacto de protección de datos que realice.

Tratando con multas Según el perfil de riesgo del vendedor, considere si necesita modificar las indemnizaciones, los límites de los pasivos y otras cláusulas similares para que el proveedor sea responsable del incumplimiento de la legislación.

"Ser explícito sobre lo que necesita de los proveedores es fundamental", dijo Karalis. "Además, es importante explicar las implicaciones de las cláusulas clave de GDPR a sus partes interesadas, así como a sus proveedores".

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.