Cómo demostrar el cumplimiento del artículo 28 del RGPD

Versión del RGPD del Reino Unido

Procesador

1. Cuando el tratamiento deba realizarse por cuenta de un responsable del tratamiento, éste utilizará únicamente procesadores que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos del presente Reglamento y garantice la protección de los derechos de el interesado.
2. El encargado no contratará a otro encargado sin la autorización previa, específica o general, por escrito del responsable. En el caso de una autorización general por escrito, el encargado informará al responsable de cualquier cambio previsto relativo a la incorporación o sustitución de otros encargados, dándole así al responsable la oportunidad de oponerse a dichos cambios.
3. El procesamiento por parte de un procesador se regirá por un contrato u otro acto jurídico conforme a la legislación nacional, que sea vinculante para el procesador con respecto al controlador y que establezca el objeto y la duración del procesamiento, la naturaleza y el propósito del procesamiento. , el tipo de datos personales y categorías de interesados ​​y las obligaciones y derechos del responsable del tratamiento. Dicho contrato u otro acto jurídico deberá estipular, en particular, que el encargado del tratamiento:
• (a) Procesa los datos personales únicamente siguiendo instrucciones documentadas del controlador, incluso con respecto a transferencias de datos personales a un tercer país o una organización internacional, a menos que así lo exija la legislación nacional a la que esté sujeto el procesador; en tal caso, el encargado informará al responsable de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
• (b) Garantiza que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
• c) Toma todas las medidas requeridas de conformidad con el artículo 32.
• d) Respete las condiciones mencionadas en los apartados 2 y 4 para contratar otro encargado del tratamiento.
• e) Teniendo en cuenta la naturaleza del tratamiento, asiste al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del responsable de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III. .
• f) Ayuda al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36, ​​teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.
• (g) A elección del responsable del tratamiento, elimina o devuelve todos los datos personales al responsable del tratamiento una vez finalizada la prestación de servicios relacionados con el tratamiento, y elimina las copias existentes, a menos que la legislación nacional exija el almacenamiento de los datos personales.
• h) Pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este artículo y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor designado por el responsable del tratamiento.
   
  Con respecto a la letra h) del párrafo primero, el encargado informará inmediatamente al responsable del tratamiento si, en su opinión, una instrucción infringe el presente Reglamento u otra legislación nacional relativa a las obligaciones de protección de datos.
4. Cuando un encargado contrate a otro encargado para que lleve a cabo actividades de tratamiento específicas en nombre del responsable, se impondrán a ese responsable las mismas obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3. otro procesador mediante un contrato u otro acto jurídico conforme a la legislación nacional, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del presente Reglamento. Cuando ese otro procesador no cumpla con sus obligaciones de protección de datos, el procesador inicial seguirá siendo plenamente responsable ante el controlador por el cumplimiento de las obligaciones de ese otro procesador.
5. La adhesión de un encargado a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo. .
6. Sin perjuicio de un contrato individual entre el responsable y el encargado, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en cláusulas contractuales tipo a que se refiere el apartado 8 del presente artículo, incluso cuando formen parte de una certificación otorgada al responsable o encargado del tratamiento de conformidad con los artículos 42 y 43.
7. El Comisario podrá adoptar cláusulas contractuales tipo para las materias a que se refieren los apartados 3 y 4 de este artículo.
8. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 se realizará por escrito, incluso en formato electrónico.
9. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado infringe el presente Reglamento al determinar los fines y medios del tratamiento, se considerará responsable del tratamiento.

Comentario técnico

El artículo 28 del RGPD trata ocho áreas constituyentes que regulan cómo se pueden subcontratar las actividades de procesamiento de datos a terceros proveedores de servicios:

1. Los requisitos mínimos necesarios para poder utilizar un proveedor de servicios.
2. Mayor participación de otros procesadores, una vez que se haya contratado al proveedor de servicios.
3. La necesidad de un contrato escrito legalmente vinculante.
4. Subprocesamiento (subcontratación).
5. Códigos de conducta.
6. Cláusulas contractuales.
7. Requisitos de forma.
8. Consecuencias jurídicas tras un incumplimiento de contrato.

ISO 27701 Cláusula 5.2.1 (Comprensión de la organización y su contexto) y artículo 28 del RGPD UE

En este apartado hablamos de los artículos 28(10), 28(5) y 28(6) del RGPD.

Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.

La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.

Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.

Esto incluye:

1. Revisar las leyes, regulaciones o "decisiones judiciales" de privacidad vigentes.
2. Teniendo en cuenta el conjunto único de requisitos de la organización relacionados con el tipo de productos y servicios que vende, y los documentos, políticas y procedimientos de gobierno específicos de la empresa.
3. Cualquier factor administrativo, incluido el funcionamiento diario de la empresa.
4. Acuerdos de terceros o contratos de servicios que tienen el potencial de afectar la PII y la protección de la privacidad.

Cláusula 27701 de ISO 6.12.1.2 (Abordando la seguridad en los acuerdos con proveedores) y artículo 28 del RGPD de la UE

En esta sección hablamos de los artículos 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) del RGPD. )(e), (3)(f), (3)(g) y (3)(h)

Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.

Al hacerlo, las organizaciones deberían:

• Ofrezca una descripción clara que detalle la información de privacidad a la que se debe acceder y cómo se accederá a esa información.
• Clasificar la información de privacidad a la que se accederá de acuerdo con un esquema de clasificación aceptado (ver ISO 27002 Controles 5.10, 5.12 y 5.13).
• Dar la debida consideración al propio esquema de clasificación de los proveedores.
• Clasifique los derechos en cuatro áreas principales (legales, estatutarias, regulatorias y contractuales) con una descripción detallada de las obligaciones por área.
• Asegúrese de que cada parte esté obligada a implementar una serie de controles que monitoreen, evalúen y administren los niveles de riesgo de seguridad de la información de privacidad.
• Describa la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (consulte ISO 27002 Control 5.20).
• Facilitar una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información de privacidad y de los activos físicos y virtuales de cualquiera de las partes.
• Establecer controles de autorización necesarios para que el personal del proveedor acceda o vea la información de privacidad de una organización.
• Considerar lo que ocurre en caso de incumplimiento del contrato o de incumplimiento de las estipulaciones individuales.
• Describir un procedimiento de gestión de incidentes, incluido cómo se comunican los eventos importantes.
• Asegúrese de que el personal reciba capacitación en concientización sobre seguridad.
• (Si al proveedor se le permite utilizar subcontratistas) agregue requisitos para garantizar que los subcontratistas estén alineados con el mismo conjunto de estándares de seguridad de la información de privacidad que el proveedor.
• Considere cómo se examina al personal de los proveedores antes de interactuar con la información de privacidad.
• Estipular la necesidad de certificaciones de terceros que aborden la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de privacidad de la organización.
• Tener el derecho contractual de auditar los procedimientos de un proveedor.
• Exigir a los proveedores que entreguen informes que detallen la efectividad de sus propios procesos y procedimientos.
• Concéntrese en tomar medidas para afectar la resolución oportuna y exhaustiva de cualquier defecto o conflicto.
• Asegurar que los proveedores operen con una política BUDR adecuada, para proteger la integridad y disponibilidad de la PII y los activos relacionados con la privacidad.
• Requerir una política de gestión de cambios del lado del proveedor que informe a la organización sobre cualquier cambio que tenga el potencial de afectar la protección de la privacidad.
• Implementar controles de seguridad física que sean proporcionales a la sensibilidad de los datos que se almacenan y procesan.
• (Cuando se vayan a transferir datos) solicite a los proveedores que se aseguren de que los datos y los activos estén protegidos contra pérdidas, daños o corrupción.
• Describa una lista de acciones que deberá tomar cualquiera de las partes en caso de rescisión.
• Pídale al proveedor que describa cómo pretende destruir la información de privacidad después de la terminación, o si los datos ya no son necesarios.
• Tome medidas para garantizar una interrupción mínima del negocio durante un período de transferencia.

Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.

Compatible con controles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Cláusula 6.15.1.1 (Identificación de la legislación aplicable y requisitos contractuales) y artículo 28 del RGPD UE

En esta sección hablamos de los artículos 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) del RGPD. )(f), (3)(g) y (3)(h)

Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:

1. Redacción y/o modificación de procedimientos de seguridad de la información privada.
2. Categorizar la información.
3. Embarcarse en evaluaciones de riesgos relacionadas con las actividades de seguridad de la información de privacidad.
4. Forjar relaciones con proveedores, incluyendo cualquier obligación contractual a lo largo de la cadena de suministro.

Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.

Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.

Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:

• Observe las leyes que rigen la importación y exportación de hardware o software que tenga el potencial de cumplir una función criptográfica.
• Proporcionar acceso a información cifrada según las leyes de la jurisdicción en la que operan.
• Utilice tres elementos clave de cifrado:
1. Firmas digitales.
2. Focas.
3. Certificados digitales.

Compatible con controles ISO 27002

• ISO 27002 5.20

Cláusula 27701 de ISO 7.2.6 (Contratos con procesadores de PII) y artículos 28(3)(e) y 28(9) del RGPD de la UE

Las organizaciones deben describir los detalles de cualquier acuerdo conjunto de procesamiento de PII, con un controlador de PII que lo acompañe; esto incluye medidas de protección generales y todos los requisitos de seguridad asociados.

Las funciones y responsabilidades deben ser claras e inequívocas y describirse en un documento legalmente vinculante (a veces denominado "acuerdo de intercambio de datos").

Los acuerdos pueden incluir (entre otras medidas):

• Por qué se comparte la PII.
• Categorías de datos.
• Una descripción general de la operación de procesamiento de PII.
• Cualquier rol y responsabilidad relevante.
• Cómo se debe gobernar la seguridad de la información privada.
• Qué acciones se deben tomar en caso de una violación de datos.
• Cómo se debe conservar y destruir la PII cuando ya no sea necesaria.
• Qué ocurre cuando cualquiera de las partes incumple el acuerdo.
• Cuáles son las obligaciones de cualquiera de las partes con respecto a los directores de PII.
• ¿Qué mecanismos existen para proporcionar a los directores de PII los detalles aplicables del acuerdo conjunto?
• Cómo los directores de PII pueden realizar solicitudes oficiales y cómo formular y entregar una respuesta.
• Puntos de contacto, tanto internos como para que los utilicen los directores de PII.

ISO 27701 Cláusula 8.2.1 (Acuerdo con el Cliente) y Artículo 28 del RGPD UE

En este apartado hablamos de los artículos 28(3)(e) y 28(3)(f) y 28(9) del RGPD.

Los contratos con los clientes deben incluir:

• El concepto de 'privacidad por diseño' (ver ISO 27701 Cláusulas 7.4 y 8.4).
• Cómo pretende la organización lograr la seguridad del procesamiento.
• Cómo se deben informar las infracciones, incluidos el cliente, los directores y las autoridades reguladoras.
• Cómo Evaluaciones de impacto en la privacidad deben ser tratados.
• Confirmación de la intención de la organización de prestar asistencia a las autoridades de protección de IPI.

Respaldo de cláusulas ISO 27701

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 Cláusula 8.2.2 (Propósitos de la organización) y Artículo 28 (3)(a) del RGPD UE

Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.

Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.

ISO 27701 Cláusula 8.2.4 (Instrucciones infractoras) y Artículo 28 (3)(h) del RGPD UE

Las organizaciones deben mantener un conocimiento práctico exhaustivo de cómo las instrucciones tienen el potencial de entrar en conflicto con la legislación aplicable o las obligaciones reglamentarias.

Las infracciones suelen producirse en torno a tres factores.

1. Cómo se utiliza la tecnología.
2. La premisa de la instrucción.
3. Cualquier obligación contractual.

ISO 27701 Cláusula 8.2.5 (Obligaciones del cliente) y Artículo 28 (3)(h) del RGPD UE

Las organizaciones deben poder proporcionar a sus clientes suficiente información para que puedan cumplir con sus obligaciones en cualquier momento dado.

La información requerida puede incorporar una amplia gama de funciones, pero normalmente está relacionada con las auditorías internas y el papel de la organización a la hora de facilitarlas mediante el suministro de información.

ISO 27701 Cláusula 8.3.1 (Obligaciones con los directores de PII) y Artículo 28 (3)(h) del RGPD UE

Las obligaciones de los controladores se rigen por tres factores:

1. Legislación.
2. Regulación.
3. Contratos

Los contratos deben incluir cualquier información or operaciones tecnicas que permitan a la organización cumplir con sus obligaciones como responsable del tratamiento.

ISO 27701 Cláusula 8.4.2 (Devolución, Transferencia o Eliminación de PII) y Artículo 28 (3)(g) del RGPD UE

Hay varios escenarios que requieren la eliminación de PII, incluidos (pero no limitados a):

• Devolver cualquier PII al cliente.
• Proporcionar la PII a otra organización.
• Destruyendo información.
• Desidentificación.
• Archivado.

Las organizaciones deben brindar garantías categóricas de que cualquier PII que ya no sea necesaria será destruida de acuerdo con la legislación vigente o las directrices regionales.

Todas las políticas de eliminación deben estar disponibles para el cliente a pedido y deben cubrir el período de tiempo que las organizaciones tienen para destruir la PII, una vez que se rescinde el contrato.

Cláusula 27701 de ISO 8.5.4 (Notificación de solicitudes de divulgación de PII) y artículo 28 (3) (a) del RGPD de la UE

Las organizaciones deben redactar un procedimiento que rija cómo se notifica a los directores de PII sobre solicitudes de información de terceros legalmente vinculantes, incluido un plazo razonable y una estipulación contractual que describa todo el proceso.

Por encima de todo, las organizaciones deben cumplir con las solicitudes de los organismos encargados de hacer cumplir la ley, quienes tienen derecho a solicitar que no se notifique al cliente sobre ninguna solicitud y a asegurarse de no infringir ninguna ley al informar al cliente de la situación de forma accidental o intencional.

Cláusula 27701 de ISO 8.5.6 (Divulgación de subcontratistas utilizados para procesar PII) y artículos 28 (2) y (28) (4) del RGPD de la UE

Todas las disposiciones para el uso de subcontratistas deben enumerarse como tales en el contrato SLA/cliente.

La información sobre los subcontratistas debe incluir:

• El nombre de los subcontratistas.
• Cualquier país al que el subcontratista pueda transferir datos (ver ISO 27701 Cláusula 8.5.2), de modo que el cliente pueda informar a los principales de PII.
• Cómo se espera que el subcontratista satisfaga las necesidades de la organización (ver ISO 27701 Cláusula 8.5.7).

Los NDA deben redactarse para revelar cualquier información que represente un mayor riesgo de seguridad si se expone públicamente.

Respaldo de cláusulas ISO 27701

• ISO 27701 8.5.2
• ISO 27701 8.5.7

Cláusula 27701 de ISO 8.5.7 (Contratación de un subcontratista para procesar la PII) y artículos 28 (2) y 28 (3) (d) del RGPD de la UE

Las organizaciones deben obtener la aprobación por escrito de sus clientes antes de que una organización externa procese cualquier PII.

Los subcontratistas deben estar sujetos a un acuerdo vinculante (generalmente en forma de contrato escrito), que garantice que los subcontratistas comprendan sus obligaciones para implementar los controles enumerados en el Anexo B de la norma ISO 27701.

Los contratos deben tener en cuenta varios procesos de evaluación de riesgos (ver ISO 27701 Cláusula 5.4.1.2) y todo el alcance de la operación de procesamiento de PII de la organización (ver ISO 27701 Cláusula 6.12). Como se indicó anteriormente, se deben cumplir todos los controles enumerados en el Anexo B, y se deben enumerar las omisiones, junto con las justificaciones para hacerlo.

Respaldo de cláusulas ISO 27701

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 Cláusula 8.4 (Cambio de subcontratista para procesar la PII) y RGPD UE Artículo 28 (2) del RGPD

Siempre que surja la necesidad de cambiar la forma en que la organización subcontrata cualquier elemento de su operación de procesamiento de PII, se debe informar a los clientes de los cambios con suficiente antelación para darles tiempo para cuestionar u objetar dichos cambios.

Los contratos deben incluir cláusulas que prevean la autorización por escrito del cliente para seguir adelante con el cambio, antes de que se procese cualquier PII.

Las organizaciones también pueden solicitar aprobación para cambios dentro de acuerdos escritos ad hoc, fuera de cualquier término contractual.

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Cómo ayuda ISMS.online

Construido según ISO 27701, alineado con otras regulaciones.

Con ISO 27701, puede crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las normas de privacidad. Esto incluye la UE Reglamento General de Protección de Datos, BS 10012 y POPIA de Sudáfrica.

Puede seguir fácilmente el estándar internacional con nuestro software simplificado, seguro y sostenible.

La plataforma todo en uno que ofrecemos garantiza que su trabajo de privacidad se alinee con la norma ISO 27701 y cumpla con sus requisitos.

Descubre más por reservando una breve demostración de 30 minutos.