Esta lista de verificación es una herramienta operativa para evaluar el nivel de cumplimiento de privacidad de un proveedor externo antes de confiarle el tratamiento de datos personales en nombre del responsable del tratamiento. Las preguntas cubren los aspectos técnicos, organizativos y normativos exigidos por el RGPD, con especial atención al art. 28 en materia de encargados del tratamiento. Un análisis estructurado del proveedor forma parte integral de un proceso de Evaluación de Riesgos (Risk Assessment) que también considera los riesgos introducidos por la cadena de suministro.
Instrucciones para el proveedor. El presente documento es una plantilla de diligencia debida (due diligence) de privacidad que el responsable del tratamiento somete al proveedor externo antes de la formalización de la relación contractual. Para cada punto, complete la columna Respuesta con la información solicitada. Cuando se indique «Si es así, especifique» o fórmulas equivalentes, proporcione el detalle solo en caso de respuesta afirmativa. Las respuestas incompletas o ausentes se considerarán indicadores de riesgo a efectos de la evaluación.
[Callforaction-RA]
1. Datos tratados
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Qué tratamientos serán efectuados por el proveedor en nombre del responsable del tratamiento? |
2. Personal encargado del tratamiento
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se ha elaborado la lista del personal encargado del tratamiento? | |
| ¿Los componentes de la lista han sido formalmente designados? | |
| ¿La lista se verifica al menos anualmente? | |
| ¿Se ha preparado un programa de formación para el personal, con sesiones impartidas por personal cualificado y/o material formativo entregado a cada empleado? |
3. Subproveedores
| Punto / Pregunta | Respuesta |
|---|---|
| Para el tratamiento efectuado en nombre del responsable, ¿se involucrarán subproveedores? | Si es así, indique para cada subproveedor la razón social, el tratamiento confiado, el país al que podrían transferirse los datos y la legitimidad de cualquier transferencia fuera de la UE. |
4. Privacidad desde el diseño y por defecto
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se adoptarán políticas internas y medidas que cumplan con los principios de protección de datos desde el diseño y por defecto? | Si es así, especifique las medidas adoptadas |
5. Registro de actividades de tratamiento
| Punto / Pregunta | Respuesta |
|---|---|
| ¿El proveedor mantiene un Registro de las categorías de actividades de tratamiento como encargado, para los tratamientos efectuados en nombre del responsable (art. 30.2 RGPD)? | |
| ¿Se ha elaborado un Registro de actividades de tratamiento como responsable (art. 30.1 RGPD)? |
6. Gestión de violaciones de datos personales
| Punto / Pregunta | Respuesta |
|---|---|
| En caso de violación de datos personales que involucre datos tratados en nombre del responsable, ¿existe un procedimiento de notificación al responsable? | Si es así, proporcione una breve descripción |
7. Análisis de riesgos sobre la protección de datos
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se ha llevado a cabo un análisis de riesgos sobre los procesos de alto riesgo en los que se tratan datos personales en nombre del responsable? |
8. Seguridad del tratamiento
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se prevén medidas técnicas y organizativas adecuadas al riesgo para los datos personales tratados en nombre del responsable? | Si es así, describa las medidas adoptadas |
9. Tratamiento de datos en soporte papel
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se han impartido al personal instrucciones escritas para el control y la custodia de los actos y documentos que contienen datos personales tratados en nombre del responsable? | |
| ¿Los actos que contienen datos sensibles o judiciales se custodian de modo que se impida el acceso a personas no autorizadas y se devuelven al finalizar las operaciones? | |
| ¿Está activo un sistema de control de accesos a los entornos físicos (oficinas, almacenes, locales técnicos)? | |
| ¿Existe un registro de identificación de las personas admitidas a los archivos que contienen datos sensibles o judiciales, especialmente fuera del horario laboral? |
10. Tratamiento de datos con herramientas electrónicas
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Los ordenadores utilizados están conectados a una red local? Si es así, ¿la red está conectada a internet? | Si es así, especifique |
| ¿Se han adoptado políticas para el uso de herramientas informáticas? | |
| Para el tratamiento de los datos, ¿se utilizan dispositivos portátiles (notebooks, smartphones, tablets)? Si es así, ¿existen políticas específicas para dichos dispositivos? | Si es así, especifique |
| ¿Se prevé un procedimiento de copia de seguridad (backup) con una frecuencia al menos semanal? | |
| ¿Los soportes extraíbles que contienen copias de los datos se custodian en archivos cerrados o con sistemas que impidan accesos no autorizados? | |
| ¿Los soportes de copia de seguridad se destruyen o reformatean cuando ya no se utilizan? | |
| ¿Se han adoptado procedimientos para el restablecimiento de la disponibilidad de los datos y de los sistemas? | |
| ¿El mantenimiento de los sistemas se confía a terceros? Si es así, ¿existe un registro actualizado de los encargados con la indicación de las intervenciones efectuadas? | Si es así, especifique |
| Indique las medidas de seguridad adoptadas para el tratamiento de datos realizado en nombre del responsable a través de herramientas electrónicas. |
11. Sistema de autenticación informática
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Los usuarios disponen de credenciales de autenticación personales (nombre de usuario y contraseña) para el acceso a los sistemas? | |
| ¿Las contraseñas son únicas para cada usuario y conocidas solo por el interesado? | |
| ¿Se han proporcionado por escrito a los encargados las instrucciones para garantizar la confidencialidad de las credenciales y la custodia de los dispositivos en uso exclusivo? | |
| Describa las características de las contraseñas (longitud mínima, complejidad, caducidad). | |
| ¿Las contraseñas se modifican en el primer uso y se cambian al menos cada seis meses (cada tres meses para datos sensibles)? | |
| ¿Se prevé el procedimiento para la deshabilitación de las credenciales cuando un encargado pierde el derecho de acceso? | |
| ¿Se imparten instrucciones para no dejar desatendida y accesible la herramienta electrónica durante la sesión de tratamiento? | |
| En caso de ausencia prolongada del encargado o de intervenciones urgentes de sistema, ¿existen disposiciones escritas que definan las modalidades con las que el responsable puede acceder a los datos y a las herramientas? | Si es así, especifique |
| ¿Existe una copia de las credenciales de autenticación confiada por escrito a un custodio responsable, con la obligación de informar puntualmente al encargado de cualquier acceso efectuado? |
12. Administradores de sistema
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Los administradores de sistema han sido evaluados por su experiencia, capacidad y fiabilidad, y designados por escrito con indicación de los ámbitos de operatividad? | |
| ¿Los datos identificativos de los administradores de sistema y la lista de las funciones atribuidas se conservan en un documento actualizado? | |
| ¿La labor de los administradores se somete a actividades de verificación al menos anual, para controlar su correspondencia con las medidas de seguridad previstas? | |
| ¿Se efectúa el registro de los accesos lógicos (access log) realizados por los administradores de sistema? | |
| ¿Los registros de los access logs se conservan y se mantienen constantemente a disposición del responsable? |
13. Políticas y procedimientos
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Existe una política que describa el plan de respuesta ante incidentes informáticos? | Si es así, proporcione evidencia |
| ¿Existe un procedimiento de eliminación y reciclaje de dispositivos basado en los estándares aplicables? | |
| ¿Están definidos los procedimientos para gestionar el ejercicio de los derechos de los interesados previstos por el RGPD (acceso, rectificación, cancelación, etc.) en relación con los tratamientos confiados al proveedor? | |
| Enumere los procedimientos disponibles. |
14. Delegado de Protección de Datos (DPO)
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Su empresa ha nombrado un DPO? | Si es así, indique nombre y datos de contacto |
15. Transferencia de datos
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Su empresa tratará datos fuera del establecimiento principal en nombre del responsable? | |
| Si es así, ¿el proceso se gestiona de conformidad con los requisitos del RGPD? | Si es así, especifique |
| ¿En qué centros de datos se conservan los datos? Especifique: a) si son propiedad del proveedor o de terceros; b) si se encuentran en países de la UE o fuera de la UE. | |
| En caso de transferencia hacia países fuera de la UE, indique qué países y la base jurídica de la transferencia (art. 44 RGPD). | Si es aplicable, especifique |
| ¿Su empresa presta servicios en modalidad cloud para el servicio prestado? | |
| Si es así, ¿el proceso se gestiona de conformidad con los requisitos del RGPD y el decálogo sobre computación en la nube de la Autoridad italiana de protección de datos personales? | Si es así, especifique |
| ¿Qué medidas de seguridad adopta el proveedor para proteger los datos en la nube? | |
| ¿Quién es el proveedor real del servicio cloud adquirido? ¿Se trata de una única empresa o de un consorcio? | |
| En caso de interrupción de la conexión a internet, ¿es posible seguir utilizando los servicios sin acceso a la nube? | |
| ¿En cuánto tiempo puede restablecerse el sistema? ¿Existen planes de continuidad para los servicios esenciales? | |
| En caso de recuperación de los datos, ¿en qué formato se entregan? | |
| ¿Existen garantías de confidencialidad en caso de que un competidor comparta los mismos servicios cloud? | |
| ¿En qué Estado se conservan los datos? ¿Es posible elegir servidores ubicados exclusivamente en territorio nacional o en la Unión Europea? | |
| ¿La tecnología cloud utilizada es de tipo propietario? ¿Los datos pueden exportarse fácilmente hacia otros proveedores? | |
| En caso de violación o pérdida de los datos, ¿el proveedor garantiza una indemnización por daños? |
16. Certificaciones
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Su empresa está certificada ISO/IEC 27001 o posee otras certificaciones relevantes en el ámbito de la seguridad de la información? | Si es así, indique las certificaciones poseídas |
17. Desarrollo seguro de software (si es aplicable)
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Se han seguido las directrices para el desarrollo seguro de software AGID? | Si es así, indique la última versión adoptada |
| ¿Se han adoptado otras directrices para el desarrollo seguro (ej. OWASP)? | Si es así, indique cuáles y la versión de referencia |
18. Controles esenciales de ciberseguridad
| Punto / Pregunta | Respuesta |
|---|---|
| Aplicabilidad DORA: ¿Su empresa opera en el sector financiero o asegurador, o proporciona servicios TIC (ej. cloud, análisis de datos) a empresas de dichos sectores? | |
| Aplicabilidad NIS: ¿Su empresa opera en sectores críticos (transportes, bancos, infraestructuras financieras) según la Directiva NIS 1, o como proveedor digital, gestor de residuos, servicios postales u organización de investigación según la NIS 2? | |
| Inventario de dispositivos y software: ¿Existe y se mantiene actualizado un inventario de los sistemas, software, dispositivos, servicios y aplicaciones en uso en el perímetro empresarial? | |
| ¿Los servicios web de terceros (redes sociales, cloud, correo electrónico, etc.) en los que se está registrado se limitan a los estrictamente necesarios? | |
| ¿Se identifican la información, los datos y los sistemas críticos que deben protegerse de forma prioritaria? | |
| ¿Se ha nombrado un referente responsable para la coordinación de las actividades de gestión y protección de la información y de los sistemas informáticos? | |
| ¿Se identifican y respetan las normativas con relevancia en materia de ciberseguridad aplicables a su organización? | |
| Protección contra malware: ¿Todos los dispositivos que lo permiten cuentan con software antivirus/antimalware regularmente actualizado? | |
| Gestión de contraseñas y cuentas: ¿Las contraseñas son diferentes para cada cuenta, de complejidad adecuada, y se evalúa el uso de la autenticación de dos factores? | |
| ¿El personal autorizado para el acceso a los sistemas dispone de cuentas personales no compartidas? ¿Las cuentas que ya no se utilizan se desactivan? | |
| ¿Cada usuario puede acceder solo a la información y a los sistemas de su competencia (principio del mínimo privilegio)? | |
| Formación y concienciación: ¿El personal está formado y sensibilizado sobre los riesgos de ciberseguridad y el uso seguro de las herramientas empresariales? | |
| ¿La configuración de sistemas y dispositivos es gestionada por personal experto? ¿Las credenciales de acceso predeterminadas se sustituyen siempre? | |
| ¿Se realizan periódicamente copias de seguridad de la información y de los datos críticos? | |
| Protección de redes: ¿Las redes y los sistemas están protegidos contra accesos no autorizados mediante cortafuegos (firewalls) u otras herramientas anti-intrusión? | |
| En caso de incidente (ataque detectado, malware), ¿se informa a los responsables de la seguridad y los sistemas son puestos en seguridad por personal experto? | |
| ¿Todos los software en uso (incluidos los firmwares) están actualizados a la última versión recomendada por el fabricante? ¿Los dispositivos y software obsoletos se retiran? |
19. Uso de la inteligencia artificial
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Utilizan algoritmos u otras formas de inteligencia artificial? | Si es así, especifique en qué procesos |
| ¿Adoptan un modelo estructurado para la gestión y el seguimiento de los sistemas de IA (Evaluación de Conformidad de IA)? | |
| ¿Se ha llevado a cabo una evaluación de impacto sobre los derechos fundamentales (FRIA)? |
20. Data Act
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Operan en el sector del IoT o producen/distribuyen dispositivos conectados que generan datos? | |
| ¿Utilizan tecnologías de preservación de la privacidad (Privacy Preserving Technologies)? | Si es así, indique cuáles |
21. Whistleblowing (D.lgs. 24/2023)
| Punto / Pregunta | Respuesta |
|---|---|
| ¿Su empresa está sujeta a la aplicación del D.lgs. 24/2023? | |
| Si es así, ¿se han adoptado los procedimientos previstos por el Decreto? | Si es así, especifique |
Información adicional útil
- Risk Assessment — para estructurar una evaluación de riesgos que incluya a los proveedores externos y la cadena de suministro.
- Cumplimiento RGPD — para verificar y mantener el cumplimiento del Reglamento europeo de protección de datos.
- Cumplimiento ISO/IEC 27001 — para implementar o mantener un sistema de gestión de seguridad de la información certificado.
Preguntas frecuentes
- ¿Quién debe completar esta lista de verificación de diligencia debida de privacidad?
- La lista de verificación está destinada al proveedor externo que tratará datos personales en nombre del responsable. Es el proveedor quien debe responder a las preguntas y proporcionar las evidencias solicitadas; el responsable la utiliza para evaluar el nivel de cumplimiento antes de formalizar la relación contractual y el nombramiento como encargado del tratamiento según el art. 28 del RGPD.
- ¿En qué fase del proceso de selección debe utilizarse esta diligencia debida?
- Idealmente antes de la firma del contrato, durante la fase de calificación del proveedor. Es oportuno repetirla periódicamente —al menos una vez al año— para verificar que el proveedor mantenga en el tiempo las medidas declaradas, en línea con lo previsto por el art. 28 del RGPD.
- ¿Qué hacer si el proveedor no puede responder a algunas preguntas?
- Las lagunas en las respuestas son en sí mismas un indicador de riesgo. El responsable debe evaluar la gravedad de las carencias respecto al tipo de datos tratados y decidir si proceder con medidas compensatorias, solicitar un plan de adecuación con plazos definidos, o excluir al proveedor de la selección.
[Callforaction-RA-Footer]