Auditoría RGPD de proveedores: checklist

·

Firmar un contrato del artículo 28 no completa la diligencia del responsable. La organización debe seleccionar encargados con garantías suficientes y ser capaz de demostrar que el tratamiento sigue siendo conforme mientras dure la relación. La intensidad de la auditoría se adapta al riesgo, pero siempre debe existir información suficiente sobre roles, medidas de seguridad, subencargados, transferencias internacionales, incidentes y condiciones de salida.

Paso 1. Confirmar el rol real

Los conceptos de responsable y encargado del tratamiento son funcionales, no etiquetas contractuales. Un proveedor que decide fines propios sobre los datos puede ser responsable para esa actividad concreta, aunque el contrato lo llame encargado.

Conviene responder a estas preguntas para cada proveedor:

El rol puede variar según el servicio concreto que preste el mismo proveedor.

Inventario de proveedores

Antes de auditar hay que saber a quién auditar. El inventario debe recoger, como mínimo, estos campos:

CampoContenido
ServicioCRM, nómina, cloud, soporte
DatosCategorías y volumen tratado
PersonasClientes, plantilla, menores
AccesoAlojamiento, acceso remoto, API
PaísesCentros de tratamiento y soporte
SubencargadosIdentidad y función de cada uno
CriticidadImpacto y dependencia operativa
ContratoVersión vigente y fecha de renovación
PropietarioÁrea responsable de la relación

Sin este inventario no puede priorizarse ninguna auditoría.

Clasificar el riesgo

La prioridad de cada proveedor depende de varios criterios combinados:

Los proveedores críticos reciben una revisión documental y técnica más profunda, y un seguimiento más frecuente.

Contrato del artículo 28

El contrato con el encargado del tratamiento debe cubrir, al menos:

No basta con reproducir el texto del artículo 28: el contrato debe describir el servicio real que se presta.

Instrucciones

Las instrucciones del responsable deben cubrir la configuración del servicio, los países de tratamiento, los plazos de retención, las copias de seguridad, el soporte técnico y las condiciones de finalización. Conviene versionarlas y registrar quién aprueba cada cambio.

Si el proveedor considera que una instrucción es contraria a la normativa, debe informar al responsable. Si actúa al margen de las instrucciones recibidas, puede llegar a asumir responsabilidades propias como responsable del tratamiento.

Subencargados

El responsable debe conocer la identidad y la localización de toda la cadena de subencargados relevante. Cuando existe una autorización general, el encargado debe informar de los cambios y ofrecer la oportunidad de oponerse a ellos.

Conviene comprobar que las mismas obligaciones del contrato principal se trasladan a cada subencargado y que existe capacidad real de control sobre toda la cadena. Una simple mención genérica a «proveedores líderes del sector» no es una lista suficiente.

Seguridad

Conviene solicitar evidencia proporcional al riesgo del tratamiento sobre:

Un certificado no sustituye la revisión de si su alcance cubre realmente el producto contratado, la región y el periodo de vigencia.

Transferencias

Conviene mapear los países donde se tratan los datos, el acceso remoto desde terceros países y el mecanismo de transferencia utilizado. Si existen cláusulas contractuales tipo, hay que revisar sus anexos, la evaluación de impacto de la transferencia y las medidas suplementarias aplicadas. Que el proveedor esté ubicado en la Unión Europea no excluye que reciba soporte técnico desde fuera de ella.

Derechos

Conviene probar un caso real de principio a fin, comprobando la capacidad del proveedor de:

La promesa contractual debe funcionar técnicamente, incluyendo cuando existen copias de seguridad de por medio.

Brechas

El proveedor debe notificar cualquier brecha de seguridad sin dilación indebida, con tiempo suficiente para que el responsable evalúe sus propias obligaciones de notificación. El procedimiento debe definir el canal de contacto, el contenido de la notificación, las actualizaciones posteriores y la evidencia que se conserva.

Conviene simular la pérdida de una credencial o una exposición de datos y comprobar cómo escala el proveedor la incidencia.

Conservación y borrado

Conviene diferenciar entre datos activos, copias de seguridad, registros y archivo histórico. Al finalizar la relación con el proveedor deben quedar garantizados:

El bloqueo de la salida por facturas pendientes del proveedor no justifica conservar datos del cliente sin base para ello.

Derecho de auditoría

El derecho de auditoría puede ejercerse mediante cuestionario, revisión de evidencias, informe de un tercero independiente, entrevista, prueba técnica o visita presencial. Se adapta al riesgo del tratamiento y debe proteger la seguridad de la información.

El proveedor no puede bloquear toda posibilidad de auditoría alegando confidencialidad, aunque sí puede acordar condiciones razonables para llevarla a cabo.

Puntuación

Una forma de ordenar la revisión es ponderar cada área según su peso en el riesgo global:

ÁreaPeso
Roles y contrato15
Seguridad25
Subencargados15
Transferencias15
Derechos y conservación10
Incidentes10
Continuidad y salida10

Los fallos críticos son eliminatorios, aunque la puntuación media del proveedor sea alta.

Seguimiento

La auditoría no termina con el informe. Conviene reabrir la revisión ante determinados disparadores:

Cada disparador debe registrar la acción a tomar, el responsable y el plazo.

Plan de auditoría

Semana 1

Definición del alcance, el rol del proveedor y el nivel de riesgo.

Semana 2

Revisión del contrato, los subencargados y las transferencias internacionales.

Semana 3

Revisión de la seguridad, la continuidad y pruebas técnicas.

Semana 4

Elaboración del informe, plan de acción y decisión sobre el proveedor.

Errores frecuentes

  1. Confiar en la marca o reputación del proveedor sin comprobar evidencias.
  2. Clasificar el riesgo únicamente según lo que dice el contrato.
  3. No conocer la identidad de los subencargados.
  4. Aceptar certificados de seguridad sin comprobar su alcance.
  5. No revisar las transferencias internacionales de datos.
  6. No probar realmente el ejercicio de los derechos de los interesados.
  7. Aceptar un plazo de notificación de brechas insuficiente.
  8. No planificar la salida o el cambio de proveedor.
  9. Auditar al proveedor una sola vez y no repetirlo.
  10. No cerrar el seguimiento de las acciones detectadas.

Checklist

Preguntas frecuentes

¿Hay que auditar a todos los proveedores por igual?

No. La intensidad de la auditoría debe ser proporcional al riesgo, pero todos los proveedores deben ofrecer garantías suficientes.

¿Basta con que el proveedor tenga la certificación ISO 27001?

No. Ayuda, pero debe revisarse su alcance y si cubre realmente los requisitos de privacidad del tratamiento.

¿Debe el responsable conocer a todos los subencargados?

El Comité Europeo de Protección de Datos (EDPB) subraya que el responsable debe disponer de información sobre la identidad de toda la cadena de subencargados para poder cumplir sus propias obligaciones.

¿Se puede auditar un proveedor de servicios en la nube de gran tamaño?

Sí, combinando informes de terceros, certificaciones, revisión del contrato, evidencias documentales y condiciones razonables para ejercer el derecho de auditoría.

Fuentes consultadas

Summum Consultoría puede ayudar a priorizar, auditar y hacer seguimiento de los proveedores que tratan datos personales, dentro del acompañamiento como DPO externo y del gobierno del dato de la empresa.