ComunicacionesHoY_CH190

TRIBUNA DE OPINIÓN menten medidas adecuadas. En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabi- lidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuá- les van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas. Como resultado de estas medidas se genera una mayor dependencia de las empresas con respecto de sus relaciones con terceros y la cadena de suministro, la responsabilidad y el deber de diligencia de las empre- sas no solo va a suponer un mayor conocimiento de la cadena de sumi- nistro y una mejora en la toma de decisiones, sino que además obliga a las empresas a tener políticas de externalización de servicios y su eva- luación, a analizar y evaluar los riesgos, controlar y supervisar a los terceros que accedan a datos personales a lo largo de todo el ciclo de vida de la prestación de servicios que realicen (elección del prestatario, negociación y firma de contrato, monitorización y vigilancia del cumplimiento del con- trato, terminación de la prestación de servicios, etc.) e incluso a deter- minar conjuntamente los controles de los riesgos. No obstante, cabe reflexionar sobre la importancia de implementar y pro- cedimentar medidas adicionales que proporcionen confianza a todas las partes interesadas (personas, procesos y tecnologías) para garantizar el cum- plimento de los requisitos regulatorios en ciberseguridad y privacidad, pero también con el objetivo de superar consideraciones relacionadas con la imagen y reputación corporativa en sus relaciones con terceros. En defi- nitiva, hablamos de la generación de confianza y competitividad en las relaciones con terceras partes. No cabe duda de que el sector empresarial categorizado en el marco normativo aplicable establece por defecto pautas y principios para la gestión de riesgos asociados prin- cipalmente a la relación con sus proveedores de servicios y/o pro- ductos, incluso aquellos sectores en los que la evolución de la regulación apunta a que, debido a su criticidad o actividad, serán incorporados en este marco de vigilancia activa. Sin embargo, las relaciones entre orga- nizaciones de cualquier naturaleza y volumetría resultan ser la base para el desarrollo del negocio, de manera que los principios asociados a la pres- tación de servicios presumiblemente serán aplicados con mayor amplitud en busca de la generación de garantías y preservación de la seguridad de la información y la protección de datos. Amedio plazo, la propuesta de revisión de la Directiva sobre Seguridad de las Redes y Sistemas de Información pro- pone la utilización de los esquemas europeos de certificación de ciberse- guridad, destacando que los Estados miembros podrán exigir a las enti- dades consideradas esenciales que certifiquen determinados productos, servicios, y procesos TIC con arreglo a regímenes de certificación de ciberse- guridad europeos específicos, donde se define la necesidad de crear un Marco europeo de la certificación de la ciberseguridad a fin de confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especifi- cados, con el objetivo de proteger la disponibilidad, autenticidad, integri- dad y confidencialidad de los datos almacenados, transmitidos o proce- sados, o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida. Algunas consideraciones al respecto podrían ser la articulación de un pro- ceso de certificación en base a un código de buenas prácticas en las relaciones con terceros como forma de fortalecer el tejido empresarial y especialmente a las pequeñas ymedia- nas empresas. Entre los principales beneficios de un sistema de certificación cabenmencio- nar la visibilidad de la responsabilidad y el deber de las empresas de anali- zar y evaluar los riesgos, controlar y supervisar a los terceros y determi- nar, conjuntamente, controles de los riesgos. Contar con un alto grado de aceptación en el tejido empresarial que permitiría la confianza de todas las partes interesadas en que el pro- ducto, proceso, y/o servicio cumpla con los requisitos especificados de ciberseguridad y privacidad. n “En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabilidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuáles van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas” 10