La evaluación de proveedores como una medida de responsabilidad proactiva indispensable

A lo largo del año 2019, se ha detectado que un referente europeo en la fabricación de aviones comerciales y militares, Airbus, ha reportado al menos cuatro importantes brechas de seguridad que han afectado a datos de carácter mixto: datos personales y datos no personales.

Los principales ataques sufridos por la compañía de fabricación de aeronaves se materializaron a través de sus propios proveedores, entre otros, Expleo (antes Assystem) y Rolls-Royce. Los accesos no autorizados solían dirigirse a la conexión VPN[1], permitiendo acceder a la red a través de los subcontratistas -generando confianza- y de éste directamente a Airbus.

El objetivo principal de los “ciberpiratas” o “hackers” eran datos no personales relacionados con la operativa técnica, seguridad y sistemas de AIRBUS. Sin embargo, se ponen de manifiesto las vulnerabilidades de las organizaciones y la necesidad de asegurar todas las vías de acceso a nuestros sistemas, información y datos, inclusive las de nuestros proveedores, independientemente de la motivación del atacante para evitar accesos no autorizados.

El artículo 28 del Reglamento General de Protección de Datos (en adelante, RGPD), exige como medida de responsabilidad proactiva, que el responsable de tratamiento elija aquellos encargados de tratamiento que ofrezcan garantías de que el servicio a prestar y, por ende, el tratamiento de datos que van a realizar sea de conformidad con la normativa y garantice la protección de los derechos de los interesados.

Para cumplir el anterior mandato, los responsables de tratamiento deberán establecer un procedimiento previo de evaluación del proveedor que sea garante de que la elección del prestador de servicios se realiza conforme la normativa y en aplicación del principio previsto en el artículo 5.2 del RGPD.

Por ello, es importante que como medida de responsabilidad proactiva los responsables del tratamiento asuman como una obligación ineludible evaluar a sus proveedores, así como, realizar un seguimiento de los mismos respecto al cumplimiento de sus obligaciones, en especial, respecto a las medidas de seguridad aplicadas para proteger injerencias externas no autorizadas a sus sistemas.

Nos encontramos, por tanto, ante la importancia real de las entidades y empresas de tomar como objetivo primordial cumplir con la normativa en materia de Protección de Datos y proteger de manera efectiva toda la información dentro de su propia organización, así como, aquella facilitada a sus proveedores para la prestación de servicios que actúan en calidad de encargados de tratamiento.

Recomendamos la lectura del artículo “Tiempo de actualizar nuestros contratos de encargo de tratamiento” en el que, desde Helas Consultores, apuntábamos la necesidad de poner en marcha planes internos de revisión y renovación de los contratos de encargo de tratamiento.

[1] VPN (Virtual Private Network): la conexión VPN permite crear una red local sin que los integrantes estén conectados físicamente, permitiendo una conexión a través de Internet. Las conexiones VPN suelen ser utilizadas en teletrabajo, para generar una conexión segura entre entidades remotas, como capa extra de seguridad, etc.

#dataprotection #data #GDPR #sistemadegestion #helas #encargadodetratamiento #responsabilidadproactiva #accountability #brechasdeseguridad

Marta Serrano Carnicer

Consultor de Helas Consultores