Cargando...
Estás aquí:  Inicio  >  Gestión/ Management  >  Externalización/ Outsourcing  >  Artículo actual

Protección de datos y externalización en el “cloud”

Por   /   30 mayo, 2018  /   Sin Comentarios

Por Maurice Woolf, Miembro del Departamento Jurídico de Interoute, Multinacional operadora de redes de telecomunicaciones y plataforma global de servicios en la “nube”.

 

La nueva ley de protección de datos de la UE que entraba en vigor el pasado viernes obliga a todas las compañías, pero la realidad es que muchas de ellas tienen (o prevén tener) trasladada su infraestructura tecnológica a la “nube”, lo que significa que intervienen también al respecto una serie de proveedores externos, en concreto los proveedores de servicios “cloud”, los conocidos como CSP. Por eso, hay que tener en cuenta que muchas organizaciones podrían verse expuestas si su proveedor de servicios “cloud” no está a la altura.

No hay que olvidar que el RGPD es una normativa nueva cuyo incumplimiento tiene consecuencias considerables, lo que ha desencadenado una reacción instintiva por parte de algunos compradores de servicios en la “nube”: externalizar el riesgo asociado a la protección de datos, descargando en el procesador de los datos toda la responsabilidad ante las posibles infracciones. Datos en el cloud, de PixabaySin embargo, por muy tentador que resulte, externalizar completamente en el proveedor de TI el riesgo asociado al RGPD puede dar lugar a negociaciones largas y complejas.

Según el RGPD, tanto el controlador de datos (generalmente la empresa) como el procesador de datos (a menudo el proveedor del servicio) están obligados a evaluar los riesgos inherentes al procesamiento de los datos personales. Ambos tienen también la obligación de implementar medidas para mitigar los riesgos, como el cifrado. Y dichas medidas deben garantizar un nivel adecuado de seguridad, lo que incluye la confidencialidad de toda aquella información que pueda servir para identificar a una persona. Asimismo, deben tener en cuenta el estado de la infraestructura técnica y calibrar los costes de implementación en relación con los riesgos y la naturaleza de los datos personales que deben protegerse.

Para poder avanzar, es fundamental que las empresas comprendan sus flujos de datos, garanticen que todos los que toman las decisiones conozcan la nueva reglamentación y sepan qué es necesario para garantizar el necesario cumplimiento del RGPD.

En cualquier caso, el auténtico desafío al que se enfrentan las empresas en su día a día radica en conocer bien su inventario de datos y entender por dónde circulan esos datos, lo cual supone especiales dificultades para aquellas empresas en cuya filosofía tradicional los datos nunca se han considerado un factor prioritario. Esas empresas deberán determinar dónde se almacenan los datos personales y quién los administra, así como las reglas de privacidad aplicables en cada caso.

En esa línea, hay que tener en cuenta que el RGPD exige que las organizaciones (los controladores de datos) solo utilicen procesadores de datos que sean capaces de garantizar formalmente el cumplimiento de los requisitos del RGPD y la protección de los derechos de las personas (los “interesados”, en la terminología del RGPD).

De esta manera, la realidad es que gran parte del riesgo subyacente al RGPD radica en la forma en que las organizaciones utilizan la “nube”. Por eso, las organizaciones deben trabajar con proveedores de confianza que tengan establecidos e integrados en su operativa estrictos controles de seguridad y requisitos de privacidad. Y a falta de unos criterios de acreditación oficiales, eso implica para las organizaciones la necesidad de acometer una exhaustiva auditoría o evaluación previa de las competencias de su proveedor de servicios en la “nube”, a fin de verificar su grado de cumplimiento de la normativa. Y al respecto, si bien las evaluaciones realizadas por terceros pueden servir de referencia, no son garantía absoluta de cumplimiento normativo. Los clientes deben considerar otros factores, como las acreditaciones de seguridad relevantes, el lugar donde se almacenan los datos, las relaciones con los organismos competentes del sector y los códigos de conducta.

Un producto “preparado para el RGPD” inspirará confianza tanto a los clientes como a los interesados a los que afecta el tratamiento de los datos. Pero cumplir la normativa en un momento determinado no basta. Los proveedores “cloud” deben tener experiencia en el desarrollo, mantenimiento y mejora continua de los procesos necesarios para llevar a cabo actividades a gran escala, e implementar de manera eficiente y rentable los regímenes de seguridad y cumplimiento normativos que el RGPD exige a los procesadores de datos como obligaciones permanentes.

En tal sentido, dado que los proveedores de servicios “cloud” tienen la obligación legal de determinar las medidas técnicas y organizativas necesarias para proteger los datos de sus clientes (por ejemplo, la gestión de seguridad ISO 27001 y la gestión de servicios ISO 20000 en instalaciones y productos), los proveedores que llevan mucho tiempo custodiando los datos de sus clientes están mejor posicionados para comprender y abordar los desafíos técnicos y organizativos asociados a la protección de dichos datos, y pueden reaccionar con más eficacia ante cualquier violación de la normativa al respecto.

Así, las organizaciones no deben limitarse a buscar proveedores de servicios “cloud” que puedan acreditar el cumplimiento de estos estándares, sino también preguntar cuántos de los empleados del proveedor han obtenido esas mismas acreditaciones. Este aspecto, junto con la buena reputación y la pertenencia y participación activa en los organismos competentes dentro del sector, será la prueba más clara de que el proveedor se toma en serio el cumplimiento de la RGPD, tanto en la letra como en el espíritu de la ley.

Finalmente, hay que tener en cuenta que, al igual que sucede con cualquier régimen normativo, el cumplimiento permanente del RGPD es un proceso continuo, y contar con un catálogo de productos “preparados para el RGPD” transmitirá confianza tanto a los clientes como a los interesados a los que afecta el tratamiento de los datos. Por tanto, las empresas deben trabajar con asesores y socios de confianza si quieren tener la certeza de que van a estar preparados para superar los obstáculos que el RGPD puede suponer para sus negocios.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *