Auditoría RGPD para la red de proveedores

Nuestro cliente gestiona la cartera de activos inmobiliarios de un gran grupo bancario. Concretamente, son las áreas de Dirección Corporativa de Medios, Compras y Atención Cliente, quienes solicitan nuestra colaboración para asegurar que su red de proveedores cumplen con las políticas y procedimientos acordados en materia de protección de datos de carácter personal.

Para ello, se decide activar una cláusula en su modelo de contrato con proveedores, la cual permite realizar una auditoría en materia RGPD para identificar incumplimientos y recomendaciones que aseguren una correcta ejecución en términos de protección de datos.

El objetivo principal de esta auditoría es que no se incurran en prácticas que puedan propiciar brechas de seguridad sobre datos de carácter personal.

Para ello, se solicita a Axis Corporate un enfoque de propuesta que permita auditar a los principales proveedores que actualmente prestan servicio al cliente con el objeto de asegurar que:

• Se identifican todos los usos de información fuera de los aplicativos del cliente
• Se asegura que la custodia de la información se realiza respetando los niveles de seguridad exigidos por el cliente
• Se respetan las políticas de conservación y destrucción de los datos personales marcadas por el cliente

Objetivos clave de la auditoría RGPD

Para dar respuesta a esta necesidad, Axis Corporate ha preparado la siguiente propuesta de colaboración para auditar a los proveedores en materia RGPD con especial foco sobre sus procesos y con los objetivos principales de:

1. Identificar incumplimientos por parte de los proveedores sobre las políticas vigentes.
2. Definir nuevos controles que reduzcan las posibilidades de fuga de datos.
3. Diseñar plan de evidencias recurrentes para asegurar el modelo

El proyecto se llevó acabo en la siguientes fases:

Fase 1. Acotar marco RGPD

• Levantamiento del proceso real de cada uno de los servicios auditados
• Validación gestión usuarios
• Identificar GAPs de potenciales incumplimiento y recomendaciones
• Revisión de las políticas de retención y destrucción de datos de carácter personal
• Verificación de la eficacia de los controles actuales

Fase 2. Auditoría

• Levantamiento del proceso real de cada uno de los servicios auditados
• Validación gestión usuarios
• Identificar GAPs de potenciales incumplimiento y recomendaciones
• Revisión de las políticas de retención y destrucción de datos de carácter personal
• Verificación de la eficacia de los controles actuales

Fase 3. Resultados y plan de acción

• Informe final con el resultado de la auditoría por proveedor
• Mapa de Incumplimientos
• Mapa de recomendaciones
• Definición del entorno de control objetivo

El cliente logró con este proyecto concienciar a toda la compañía sobre la necesidad de cumplir con los aspectos normativos/regulatorios en materia de protección de datos personales y, sobre todo, de las repercusiones en caso de incumplimiento.

Otros resultados cualitativos que se obtuvieron de este proyecto:

• Scoring de proveedores: cruzando el riesgo de su actividad con el resultado de la auditoría, para facilitar la priorización de los aspectos a trabajar.
• Implantación de una metodología de control sobre los proveedores: para que el cliente sea autónomo de cara a realizar el ejercicio en un futuro.
• Definición de un plan de acción: incluye tanto iniciativas propias a impulsar por el cliente como del proveedor, de cara a mejorar la seguridad de sus aplicativos o los circuitos operativos estándares.
• Identificación de un plan de trabajo para cada proveedor: con el objetivo de reducir el riesgo de los tratamientos de datos que realizan en nombre del cliente.
• Análisis de la documentación contractual y política sobre GDPR de cada uno de los proveedores analizados: para mejorar los clausulados de los contratos con foco en las futuras renovaciones.
• Mejora en la gestión del dato: una vez se finaliza la colaboración con el proveedor o se supera el plazo de custodia y retención definida en las políticas marcadas por el cliente.
• Mayor control: sobre la gestión de usuarios y permisos en las aplicaciones del cliente.