Por qué los DPO deben evaluar las herramientas de anonimización
El RGPD exige una Evaluación de Impacto en la Protección de Datos (EIPD) para los tratamientos de alto riesgo. El tratamiento de información personal a gran escala es de alto riesgo. Una herramienta de anonimización es un encargado del tratamiento. Se rige por las normas de los encargados. Hay que evaluarla antes de ponerla en producción.
Dos cosas son necesarias. Los encargados deben ofrecer «garantías suficientes» en materia de seguridad. Todo tratamiento debe regirse por un contrato escrito. Como DPO, registre las medidas de seguridad de la herramienta, sus subencargados, el lugar de alojamiento, los procedimientos ante violaciones y el acuerdo de tratamiento de datos (ATD).
La certificación ISO 27001 reduce el trabajo. Investigaciones del BSI muestran que las organizaciones certificadas reducen el tiempo dedicado a cuestionarios de seguridad en un 73 %. Investigaciones de Gartner indican que ISO 27001 se exige en el 78 % de las licitaciones del Fortune 500. Una herramienta certificada le permite citar el certificado. No es necesario verificar cada control por separado. Las herramientas no certificadas requieren más revisión manual.
Consulte nuestra descripción de cumplimiento y nuestra página de seguridad para ver cómo cumplimos estas normas.
Siete puntos que verificar
Use esta lista para cualquier herramienta o proveedor de anonimización.
1. Acuerdo de tratamiento de datos. ¿Hay un ATD conforme al RGPD vigente? Debe cubrir: tratamiento solo según sus instrucciones, deber de cuidado, medidas de seguridad, control de subencargados, ayuda con solicitudes de derechos, supresión o devolución de archivos y derechos de auditoría.
2. Documentación de seguridad. ¿Están escritas las medidas de seguridad? Los proveedores certificados ISO 27001 pueden mostrar su certificado y su Declaración de Aplicabilidad. Eso satisface el requisito.
3. Lista de subencargados. ¿Usa la herramienta subencargados? ¿Están identificados? Necesita aviso previo de cualquier cambio. Los proveedores cloud, CDNs y herramientas OCR cuentan. Los nombres que faltan son una brecha habitual.
4. Lugar de alojamiento. ¿Están sus archivos alojados en la UE? El alojamiento en la UE es lo más sencillo para las empresas europeas. Las herramientas de conocimiento cero también son válidas — ningún archivo sale de su dispositivo. Los proveedores de EE. UU. necesitan Cláusulas Contractuales Tipo (CCT).
5. Aviso de brechas. ¿Con qué rapidez le informará el proveedor de una brecha? La ley exige notificación a la autoridad reguladora en 72 horas. El proveedor debe avisarle primero. Compruebe que el ATD lo confirma.
6. EIPD del proveedor. ¿Ha realizado el proveedor su propia EIPD? ¿Puede consultarla? Sin EIPD hay una brecha en sus propios registros. Esto es un problema frecuente.
7. Supresión y portabilidad. ¿Puede el proveedor gestionar solicitudes de supresión y portabilidad? Las herramientas de conocimiento cero no almacenan archivos — la supresión puede no aplicar. La EIPD lo debe indicar.
Un buen proveedor le entrega cuatro documentos: certificado ISO 27001, prueba de alojamiento en la UE, su EIPD y un ATD firmado. Esos cuatro elementos cierran todas las brechas de su propia EIPD. Su regulador quedará satisfecho.
Consulte nuestras Preguntas frecuentes para DPO sobre los pasos habituales en la evaluación de proveedores.