Los impactos de la protección de datos personales en el proceso de contratación

La contratación de proveedores, ya sea para la prestación de servicios, para la subcontratación o externalización de determinadas actividades dentro de la empresa, es una actividad habitual y habitual en el día a día del equipo de compras. En estos procesos, es importante que las áreas de compras representen un centro de ganancias, no un centro de costos.

Después de todo, el objetivo principal de contratar proveedores para llevar a cabo ciertas actividades o entregar ciertos productos es ganar eficiencia interna, aumentar el valor de la empresa, reducir los costos y permitir que los empleados se concentren por completo en las principales actividades que lleva a cabo la empresa.

Vale la pena recordar que, en mayor o menor medida, un posible problema con los proveedores de este ecosistema puede afectar la calidad del servicio o producto contratado, e incluso puede hacer inviable su uso adecuado. Según una encuesta mundial de Actitud de seguridad de CrowdStrike, ataques a cadena de suministro se ha vuelto cada vez más común.

Las cifras de 2021 indican que El 77% de los encuestados sufrió algún tipo de ataque en la red de proveedores, lo que representa un aumento del 16% en comparación con los datos de 2018. Asimismo, el porcentaje de empresas que sufren ciberataques en su ecosistema de suministro creció: del 32% en 2018 al 45% en 2021.

En vista de estas cifras, de hecho, la expectativa es que las herramientas digitales contratadas puedan convertirse en las mayores amenazas de seguridad para las empresas.

Uma Investigación de IBM, junto con la agencia Ponemon, sobre el costo de las filtraciones de datos, llegaron a resultados similares: una quinta parte de todas las filtraciones estudiadas se originaron en el ecosistema de proveedores, con un costo promedio de 4,46 millones de dólares.

En este contexto, el departamento de compras debe establecer un proceso cuidadoso para seleccionar la composición de la cadena de suministro de las empresas. Más que evitar los riesgos y contingencias asociados a los posibles ataques y ciberataques que puedan sufrir los proveedores, el objetivo debe ser establecer relaciones de cooperación y colaboración entre el proveedor y la empresa contratista, de modo que ambas partes se beneficien. Para ello, es fundamental implementar procesos de contratación sólidos para estos socios.

‍

‍

¿Qué es la contratación?

Adquisiciones Es exactamente eso: un proceso de varios pasos destinado a observar el ciclo de compra en su conjunto, no solo restringido a las negociaciones de valor y a la realización de pagos. El proceso de Adquisiciones, de hecho, comienza cuando el departamento de compras de la empresa identifica, aunque sea de forma proactiva, la necesidad o la ventaja de contratar a un proveedor para alguna actividad que lleve a cabo la empresa.

Una vez que se comprende esta necesidad, se deben encuestar todos los requisitos técnicos necesarios para ese producto o servicio a fin de seleccionar a los proveedores que satisfagan las necesidades de la empresa contratante. En esta etapa, teniendo en cuenta todos los riesgos asociados a las herramientas de contratación y las posibles filtraciones de datos, puede resultar interesante llevar a cabo un diligencia debida de los proveedores, como medida para mitigar los riesgos de seguridad.

En esta operación, se debe analizar el cumplimiento de los requisitos específicos aplicables, como la protección de datos personales, la seguridad de la información, los impuestos y la integridad.

Una vez que el proveedor ha sido aprobado, la negociación de cotizaciones factibles es el siguiente paso de este proceso, seguido de la contratación. Finalmente, llegan las etapas de facturación, pago y seguimiento, ya sean internas (entiendo el grado de satisfacción alcanzado por el proveedor) o externas (verificar que la prestación de los servicios o productos se realizó según lo acordado entre las partes).

Esta gestión del proceso de Adquisiciones puede utilizar herramientas de soporte para agilizar cada uno de estos pasos, como una herramienta para abrir tickets, gestionar los proveedores y firmar documentos electrónicos.

El impacto de la protección de datos en el proceso de adquisición

Con la entrada en vigor de la Ley General de Protección de Datos (LGPD), Adquisiciones y específicamente, el escenario de diligencia debida adquirió una capa adicional de complejidad. Esto se debe a que la gobernanza de los datos requerida por la LGPD exige que las responsabilidades de los actores involucrados en la cadena de procesamiento de datos personales se determinen e informen al propietario.

Además, en ciertos tipos de relaciones, uno de los agentes puede ser responsable de las acciones cometidas por sus proveedores. En otras palabras, existen nuevos riesgos asociados a la gestión de los datos personales que implican la relación con los proveedores.

Por lo tanto, se hizo esencial repensar la relación con los proveedores que entregan, reciben y almacenan datos personales. Dado que estos riesgos de privacidad son costos potenciales para la empresa, su mitigación también es una forma de que el área de compras, junto con el área de privacidad, aporten valor a la empresa.

Esta gestión impone tres pasos al proceso de compra:

• comprender cómo se llevarán a cabo las operaciones de procesamiento entre las partes, para definir las obligaciones aplicables al proveedor;
• evaluar el grado de madurez del programa de privacidad de los vendedores, en vista de estas obligaciones;
• definir las responsabilidades contractuales, a través de un acuerdo de procesamiento de datos.

Los tres pasos se pueden asignar en el proceso de Adquisiciones, durante el estudio de los requisitos técnicos esenciales para los proveedores y los contratistas, respectivamente.

Flujo de datos personales en el ecosistema de proveedores

El punto de partida de este proceso es comprender, en función de la actividad operativa de la que formará parte el proveedor, el flujo de datos personales entre las partes y el papel que desempeña cada una. Este análisis nos permitirá identificar las obligaciones aplicables a las partes y el acuerdo legal apropiado. Es decir, si la relación establecida es entre controlador y operador; operador y suboperador; controladores conjuntos o independientes.

La empresa comienza la evaluación basándose en los criterios para identificar al controlador de datos, de acuerdo con la Guía para las definiciones de los agentes de procesamiento de la Autoridad Nacional de Protección de Datos Personales (ANPD):

• ¿Quién determina la naturaleza de los datos personales procesados?
• ¿Quién definirá las formas y los propósitos de las actividades de procesamiento de datos personales?
• ¿Quién determina la duración del tratamiento?

Además, es importante entender la importancia de esa actividad operativa para la empresa. Por ejemplo, un proveedor que procesa datos personales y participa directamente en los productos que ofrece una empresa puede considerarse más crítico, en términos de privacidad, que una consultora legal, que trata los datos personales solo en transacciones específicas.

Debida diligencia y aprobación del proveedor

UN diligencia debida de los proveedores desempeñan un papel fundamental en el proceso de Adquisiciones. Los requisitos analizados proporcionan a la parte contratante una radiografía de la madurez de los controles internos del proveedor y, en consecuencia, del nivel de riesgo que este proveedor puede aportar al negocio.

Además, el proceso en sí mismo es una forma de que la empresa demuestre Responsabilidad, es decir, para crear pruebas de que usted buscó identificar las posibles fallas o brechas del proveedor, antes de contratar. Si el proveedor cumple con los criterios considerados mínimos por el contratista, puede considerarse aprobado después diligencia debida.

El primer paso para estructurar un diligencia debida Efectivo es definir qué Marco aplicable, es decir, las normas, leyes y buenas prácticas a las que está sujeta la empresa. Debe determinarse qué leyes de privacidad son aplicables a la empresa. Si la empresa tiene actividades en otros países, es posible que se apliquen otras leyes o reglamentos de protección de datos además de la LGPD.

Definido el Marco aplicable y a partir de Salidas A partir de la etapa anterior, en la que se definió la disposición de los puestos de los agentes de tratamiento, se pueden establecer las obligaciones de protección de datos aplicables al proveedor en cuestión.

Se pueden crear plantillas de obligaciones predefinidas para operadores y suboperadores, para controladores conjuntos y controladores independientes. A partir de esta lista de obligaciones aplicables, es necesario elaborar un mapa térmico y una matriz de riesgos, que tengan en cuenta los posibles daños (tanto para la empresa como para los clientes y propietarios) que el incumplimiento del requisito genera, en términos de probabilidad e impacto.

Por ejemplo, compruebe diligencia debida si el proveedor lleva a cabo una transferencia internacional de datos y, en caso afirmativo, cuál es la posibilidad que la autoriza. Si el proveedor señala que se ha producido una transferencia, pero no sobre la base de uno de los instrumentos del art. 33 de la LGPD, se crea un posible perjuicio para la empresa contratante, es decir, el incumplimiento de una obligación legal.

El nivel de probabilidad de daño puede considerarse promedio, ya que la ANPD aún no ha establecido una regulación específica sobre la transferencia, pero aun así, el impacto del incumplimiento legal puede ser alto.

Para cada uno de los requisitos analizados, el ejercicio debe realizarse para reflexionar sobre los posibles daños, su probabilidad de ocurrir y su impacto, si se produce.

Vale la pena decir que diligencia debida no tiene que, ni debe, limitarse a cuestiones de privacidad. El cuestionario también puede contener cuestiones fiscales, de integridad y de seguridad de la información, por ejemplo. Basta con que la matriz de riesgo de todas las áreas sea homogénea para que, al final, se identifique y se considere el riesgo global del proveedor.

Dependiendo de la complejidad del proceso de aprobación del proveedor, como el número de proveedores activos y la diversidad de cuestiones aplicables, vale la pena considerar el uso de una herramienta que calcule automáticamente el riesgo del proveedor en función del cuestionario.

Independientemente de la forma en que sea diligencia debida Se llevarán a cabo, las respuestas a estos cuestionarios deberán contribuir, junto con el presupuesto recaudado, a elegir al mejor proveedor. Un proveedor que participe en una actividad operativa crítica de la empresa y que sea un poco más caro que los demás puede valer la pena si su riesgo es menor.

Se recomienda que esta evaluación se repita periódicamente, según el nivel de crítica de ese proveedor por parte de la empresa contratante. Esto permite a la empresa comprender la evolución y la actualización de los controles del proveedor a lo largo del tiempo, lo que puede reflejar el precio del servicio (por ejemplo, si el riesgo aumenta, el contratista podría solicitar un descuento o renegociar el precio del servicio) o, incluso, a cambio de la empresa proveedora.

La contratación del proveedor y las cláusulas de protección de datos personales

La tercera etapa del proceso de Adquisiciones La negociación del contrato con el proveedor se ve afectada por las leyes de privacidad. Esto se debe a que las obligaciones y responsabilidades de los proveedores en relación con los datos personales deben establecerse formalmente, tanto como una forma de mitigar los posibles riesgos que se encuentren en diligencia debida, cuánto como una forma de Responsabilidad y rendición de cuentas.

Estas cláusulas de privacidad pueden ser más simples o más complejas, según la naturaleza crítica del proveedor y el nivel de riesgo encontrado. Además, pueden estar en un modelo de contrato estándar con los proveedores o en un contrato independiente, como un acuerdo de procesamiento de datos personales.

En general, un buen contrato de privacidad tiene al menos los siguientes temas:

• obligaciones de las partes (cumplir con el acuerdo, la legislación y, posiblemente, cualquier política de privacidad de los proveedores)
• posiciones de los agentes de tratamiento (siguiendo las directrices de la propia ANPD);
• si el proveedor puede o no compartir datos personales con terceros (es decir, con su propio ecosistema de entrega) y cuáles son los requisitos para este intercambio;
• la transferencia internacional de datos personales y la necesidad de definir la hipótesis que justifica esta actividad, de conformidad con el art. 33 de la LGPD;
• casos en los que se deben eliminar los datos personales (como la rescisión del contrato o la solicitud de los interesados);
• seguridad de los datos personales;
• incidentes relacionados con datos personales, determinando un período máximo para notificar al contratista;
• los derechos de los propietarios y cuáles de las partes deben cumplirlos, incluida la definición de un proceso para notificar a la otra parte, si procede;
• responsabilidad e indemnización.

UN Haga clic en firmar puede ayudarle a optimizar los procesos de documentación y gestionar los contratos. Conozca nuestros funciones y planes y pruébalo gratis durante 14 días, ¡sin necesidad de tarjeta de crédito!