Política de Gestión de Privacidad de Encargados del Tratamiento, Subencargados y Terceros

La Política de Gestión de Privacidad de Encargados del Tratamiento, Subencargados y Terceros define cómo una organización gobierna a las partes externas que tratan, acceden, reciben, almacenan, transmiten, dan soporte o manejan de otro modo información de identificación personal (PII) dentro del alcance del Sistema de Gestión de la Privacidad de la Información. Se aplica cuando la organización actúa como responsable del tratamiento de PII que utiliza encargados del tratamiento, como corresponsable del tratamiento que requiere clasificación de roles, como encargado del tratamiento que utiliza subencargados o subcontratistas, y como subencargado que recibe instrucciones del cliente. La política también cubre las relaciones con terceros que requieren diligencia debida de privacidad, controles contractuales, instrucciones documentadas, aprobación de subencargados, supervisión, aseguramiento, interfaz de incidentes, vinculación con transferencias, devolución, supresión o evidencias de salida. Una característica central de la política es su dependencia de REG08 — Registro de Encargados del Tratamiento, Subencargados e Intercambio de Datos — como objeto de evidencia principal para la gestión de privacidad de encargados del tratamiento, subencargados y terceros. La política exige que el Responsable de Privacidad / Responsable del PIMS defina los campos mínimos de REG08 y clasifique las relaciones de privacidad con terceros como responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento, subencargado del tratamiento u otra relación con terceros antes de la aprobación contractual o antes de que comience el tratamiento de PII. También exige que el Responsable de Proveedores / Adquisición bloquee el alta, renovación o ampliación hasta que REG08 esté completado y vinculado a registros como REG02, REG04, REG09 o REG10 cuando se activen esos objetos de evidencia. Esto crea una vinculación documentada entre la gobernanza de relaciones, el inventario de tratamientos, los registros de riesgo y EIPD, las evidencias de transferencia internacional, los registros de incidentes y las acciones correctivas. La política establece requisitos detallados de diligencia debida, evaluación de riesgos y control contractual. La diligencia debida de privacidad debe completarse antes de seleccionar, renovar o modificar materialmente una relación con un encargado del tratamiento, subencargado o tercero que trate o acceda a PII. Las evidencias de aseguramiento de seguridad deben ser revisadas por el Responsable de Seguridad de la Información antes de la aprobación, y las relaciones de alto riesgo con encargados del tratamiento o los cambios materiales de privacidad de terceros activan la evaluación preliminar de riesgos de privacidad y la evaluación preliminar de EIPD en REG04. Los controles de contrato e instrucciones documentadas se separan para los contextos de responsable del tratamiento y encargado del tratamiento. Cuando actúa como responsable del tratamiento, la organización debe registrar un contrato escrito con el encargado del tratamiento o un acuerdo vinculante equivalente antes de que un encargado del tratamiento maneje PII. Cuando actúa como encargado del tratamiento, los acuerdos con clientes o las instrucciones documentadas del cliente deben definir el alcance autorizado del tratamiento antes de que se traten datos personales del cliente. La política también exige cobertura contractual para asistencia, aseguramiento de seguridad, interfaz de incidentes mediante PII15, devolución o supresión mediante PII10, vinculación con transferencias mediante PII13 y cooperación en auditoría o aseguramiento. La gobernanza de subencargados y subcontratistas se aborda mediante requisitos específicos de aprobación, aviso, obligaciones trasladadas contractualmente y supervisión. El Responsable de Proveedores / Adquisición debe mantener una lista de subencargados y subcontratistas en REG08, verificar la autorización del cliente antes de la contratación, notificar a los clientes los nuevos subencargados previstos o sus sustituciones conforme al acuerdo aplicable, y asegurar las obligaciones de privacidad, seguridad, asistencia, devolución, supresión, interfaz de incidentes y vinculación con transferencias trasladadas contractualmente antes de que cualquier subencargado trate PII. Los avisos de cambio de subencargado del lado del responsable del tratamiento también deben seguirse, con decisiones de aprobación, oposición o escalado registradas en REG08 dentro del período contractual de oposición o en un plazo de 10 días hábiles tras la recepción del aviso, lo que sea más breve. La política completa el ciclo de vida con supervisión continua, gestión de asistencia, registro de divulgaciones, vinculación con incidentes, vinculación con transferencias, evidencias de salida, excepciones, aplicación y revisión. Las relaciones de alto riesgo con encargados del tratamiento y subencargados se supervisan trimestralmente, mientras que otras relaciones activas con encargados y subencargados que tratan PII se supervisan anualmente. Las solicitudes de asistencia relativas a derechos de los interesados, EIPD, evidencias de seguridad, auditorías o aseguramiento de clientes deben coordinarse mediante REG08 y vincularse a REG06, REG04 o REG12 cuando sea aplicable. Los avisos de incidentes de privacidad relacionados con proveedores se enrutan a REG10 conforme a PII15 en el plazo de un día hábil, y las evidencias de devolución, supresión, eliminación o transición deben obtenerse en un plazo de 30 días tras la terminación, caducidad, instrucción del cliente o evento de salida aprobado, salvo que se aplique un período contractual más breve. Las excepciones son limitadas en el tiempo, requieren una evaluación de impacto de privacidad y pueden requerir la aprobación de la Alta Dirección cuando se vean afectados tratamientos de alto riesgo, evidencias contractuales ausentes, deficiencias de vinculación con transferencias o el alcance de la certificación.