El requisito de evaluación de proveedores de DPIA
El artículo 35 del GDPR requiere Evaluaciones de Impacto en la Protección de Datos para el procesamiento que probablemente resulte en un alto riesgo para los derechos y libertades de los individuos. El procesamiento a gran escala de datos personales (artículo 35(3)(b)) se encuentra dentro de este requisito. Cuando una organización implementa una herramienta de anonimización para el procesamiento a gran escala de PII, la DPIA debe evaluar la herramienta como un procesador de datos bajo el artículo 28 del GDPR.
El artículo 28 requiere que los procesadores de datos proporcionen "garantías suficientes para implementar medidas técnicas y organizativas apropiadas" y que el procesamiento esté "regido por un contrato u otro acto legal bajo la ley de la Unión o del Estado miembro." Un DPO que complete una DPIA para una herramienta de anonimización debe documentar: las medidas de seguridad de la herramienta, sus relaciones con subprocesadores, su residencia de datos, sus procedimientos de notificación de violaciones de datos y el acuerdo de procesamiento de datos que rige la relación.
La certificación ISO 27001 reduce significativamente la carga de documentación de la DPIA: la investigación de BSI (2024) encontró que las organizaciones certificadas ISO 27001 reducen el tiempo del cuestionario de seguridad en un 73%. Gartner encontró que la adquisición de seguridad de Fortune 500 requiere ISO 27001 en el 78% de las RFPs. Cuando la herramienta de anonimización está certificada por ISO 27001, la DPIA puede hacer referencia a la certificación en lugar de intentar verificar de forma independiente los controles de seguridad de la herramienta.
La lista de verificación de evaluación de proveedores del artículo 28
Los DPO que evalúan una herramienta de anonimización en función de los requisitos del artículo 28 del GDPR deben verificar:
1. Acuerdo de procesamiento de datos: ¿Está disponible un DPA compatible con el GDPR? ¿Cubre todas las disposiciones requeridas del artículo 28: procesamiento solo bajo instrucciones documentadas, obligaciones de confidencialidad, medidas de seguridad, controles de subprocesadores, asistencia a derechos de los interesados, eliminación o devolución al finalizar el contrato y cooperación en auditorías?
2. Documentación de medidas de seguridad: ¿Están documentadas las medidas de seguridad técnicas y organizativas de manera que satisfaga el artículo 32? Para herramientas certificadas por ISO 27001, la certificación y la Declaración de Aplicabilidad proporcionan esta documentación.
3. Transparencia de subprocesadores: ¿La herramienta utiliza subprocesadores? ¿Están listados y son accesibles? Los cambios en los subprocesadores requieren notificación previa al controlador. Las herramientas que utilizan múltiples proveedores de infraestructura en la nube (por redundancia, CDN, etc.) deben documentar cada subprocesador.
4. Residencia de datos: ¿Dónde se procesan y almacenan los datos personales? Para DPOs con sede en la UE, se requiere residencia de datos en la UE o arquitectura de conocimiento cero (sin datos personales transmitidos a los servidores). Las herramientas con sede en EE. UU. requieren SCCs o BCRs documentados.
5. Notificación de violaciones de datos: ¿Cuáles son los procedimientos de notificación de violaciones de la herramienta? El artículo 33 del GDPR requiere notificación a la autoridad de supervisión dentro de las 72 horas. El artículo 28 requiere que los procesadores notifiquen a los controladores "sin demora indebida" después de tomar conocimiento de una violación, lo que debe ser antes de que transcurran las 72 horas.
6. Disponibilidad de DPIA: ¿El proveedor de la herramienta ha completado su propia DPIA? ¿Está disponible para los clientes empresariales para su inclusión en la DPIA del controlador? Un proveedor de herramientas que no ha completado una DPIA para su propio procesamiento crea una brecha de documentación en la DPIA del controlador.
7. Soporte de eliminación y portabilidad: ¿Puede la herramienta cumplir con las obligaciones del artículo 17 (eliminación) y del artículo 20 (portabilidad)? Para herramientas de conocimiento cero donde no se almacenan datos personales, la pregunta de eliminación puede no surgir, pero la DPIA debe documentar esto.
La compañía de seguros austriaca DPO que completa una DPIA para su proceso de anonimización de quejas puede solicitar y recibir: certificado ISO 27001, documentación de alojamiento en la UE, DPIA y DPA de un proveedor de herramientas compatible. Estos cuatro documentos proporcionan una cobertura completa de DPIA del artículo 28. La auditoría de la autoridad de supervisión encuentra la DPIA completa.
Fuentes: