PROTECCIÓN DE DATOS

Es hora de revisar sus contratos: cómo el RGPD cambiará la relación entre las organizaciones y los proveedores de servicios en la nube

Tribuna
Alvaro-Palencia_EDEIMA20171006_0009_1.jpg

Hasta ahora, casi todas las organizaciones saben cómo RGPD cambiará los derechos de los individuos sobre poseer sus propios datos cuando entre en vigencia el 25 de mayo de 2018. Un principio clave que establece el RGPD es el principio de responsabilidad. Depende de la organización que necesita datos personales para un cierto propósito, denominado controlador de datos bajo el RGPD, garantizar el cumplimiento de los principios de privacidad no solo dentro de sus “paredes”, sino también entre proveedores con los que podría compartir los datos y subcontratistas que podrían procesar datos en su nombre, conocidos como el procesador de datos. Los proveedores de la nube son ejemplos perfectos de procesadores de datos con los que su organización podría tener que lidiar en su proyecto de cumplimiento del RGPD. 

Entonces, ¿qué pasos debe tomar una organización para construir dicha cultura y garantizar la responsabilidad más allá del firewall de su empresa e incluso de las transferencias transfronterizas de datos? Muchas organizaciones están empezando a darse cuenta del grado de preparación que se requerirá para hacer esto realidad. 

Una encuesta de 2016 realizada por NetApp de los responsables de la toma de decisiones de TI en el Reino Unido descubrió que el 35% cree que la responsabilidad de los datos de una organización recae en sus proveedores externos, mientras que el 3% no sabía quién sería responsable. Las empresas están lidiando con el cumplimiento del RGPD durante un momento de crecientes preocupaciones de seguridad tras algunas brechas de datos masivas recientes como Equifax y Alteryx/Experian que refuerzan la importancia de la responsabilidad de los datos. Bajo el RGPD, la responsabilidad de los datos se asienta firmemente en el controlador de datos, la organización que recopila los datos personales en primera instancia y luego se conecta en cascada con las otras partes interesadas cuando lo procesan. 

Debido a este principio de responsabilidad, las organizaciones deben determinar su estrategia de privacidad con respecto a la nube. La reacción instintiva podría ser evitar el almacenamiento en la nube para datos personales y, en su lugar, recurrir al almacenamiento local. El enfoque de Lenovo con respecto al análisis del cliente es un ejemplo perfecto de esta táctica. Decidieron hacer una arquitectura híbrida de Big Data de Amazon Web Services (AWS) para beneficiarse de la nube, mientras usaban sus propios servidores para mantener la privacidad y seguridad de los datos más confidenciales. Otros podrían considerar que la nube es la forma más efectiva y segura de enfrentar los desafíos de la nueva legislación de privacidad de datos. Pero entonces, deben ser más minuciosos en su proceso de adquisición en la nube, para asegurarse de que ambas partes comprendan los riesgos, las responsabilidades y los requisitos que el proveedor de la nube deberá cumplir. 

eBook - Plan de gobernabilidad de datos de 16 pasos para RGPD 

Algunas organizaciones pueden incluso no tener la capacidad de elegir proactivamente entre las dos estrategias para sus sistemas heredados: un artículo inspirador del Cloud Industry Forum afirma que una empresa europea promedio está usando efectivamente 608 aplicaciones en la nube, pero debido a las TI en las sombras, está subestimando este número en un 90%. Asegurarse de que todas las aplicaciones en la nube que contienen datos personales sean referenciadas es el primer y principal desafío. Las organizaciones necesitan rastrear toda su infraestructura de datos para crear y mantener un mapa constante y preciso de sus datos. Luego, deben prestar especial atención cuando se trata de sistemas de terceros como CRM, recursos humanos, infraestructuras o plataformas como servicio o análisis basados en la nube. Esto será especialmente importante ya que necesitarían evaluar la preparación de RGPD de su proveedor de servicios en la nube como procesador de datos y asegurarse de que su contrato incluya un acuerdo de procesamiento de datos. Del mismo modo, los controladores de datos deben asegurarse de que pueden borrar los datos de sus proveedores de la nube cuando dejen de usar el servicio en la nube. Como los consumidores podrán solicitar información sobre, o la eliminación de, todos los datos personales que una empresa tiene sobre ellos, el controlador de datos tiene que garantizar que puedan cumplir con este tipo de requisitos a través de su proveedor de la nube. 

También necesitan definir claramente el equilibrio de responsabilidad en caso de una violación de datos. Mientras que, bajo el RGPD, el controlador de datos (la organización que procesa los datos que capturaron de sus datos) es responsable en última instancia de prevenir y reportar infracciones de datos razonablemente, las organizaciones deben asegurarse de que su procesador de datos (el proveedor de servicios en la nube) sea contractualmente se requiere que también asuma la responsabilidad de la seguridad de los datos almacenados. Esto es particularmente importante en términos de la responsabilidad del controlador de datos de notificar a la autoridad de supervisión, dentro de las 72 horas y sin demora indebida de cualquier violación de datos. Esto requerirá que los proveedores de la nube (como controladores de datos) se aseguren de notificar a las organizaciones sobre cualquier amenaza de seguridad lo más rápido posible, y debe ser una consideración importante en la selección de un nuevo proveedor de la nube. 

¿Estás listo para GDPR? 

Las organizaciones también necesitarán tener un interés mucho más activo en la ubicación física de los centros de datos de un proveedor de servicios en la nube. Bajo el RGPD, hay países específicos fuera de la UE, solo unos pocos, que están autorizados para el almacenamiento de los datos de los ciudadanos de la UE. Si su proveedor de servicios en la nube está almacenando su información en un centro de datos que está fuera de estas regiones, deberá asegurarse de que existen Reglas Corporativas Vinculantes para mantener los datos en conformidad con el RGPD. Al mismo tiempo, esta información de ubicación también será esencial para cumplir con cualquier reglamentación local adicional en la industria y otros territorios regionales en los que opera la organización. Será esencial que las organizaciones trabajen con proveedores de la nube que puedan proporcionar información clara y transparente información de ubicación para su almacenamiento de datos, o bien introducir un riesgo innecesario. 

Siempre que esté trabajando con un proveedor de la nube confiable, y una vez que haya establecido los principios de control de datos que mantenga el control de los datos dondequiera que se procesen, la nube puede ser un recurso valioso para almacenar datos personales y mantener el cumplimiento del RGPD. De hecho, muchos proveedores de la nube ya han allanado el camino al soporte del RGPD, por lo que trabajar con esos proveedores de la nube conocedores puede ayudar a las organizaciones a acelerar su cumplimiento. No obstante, asegurarse de que está familiarizado con las políticas y la estrategia del RGPD de su proveedor será crucial para todas las organizaciones con las se vaya a trabajar sabiendo que la fecha límite para empezar a cumplir es el 25 de mayo. 

El RGPD será un cambio significativo en la forma en que las organizaciones abordan los datos personales y su estrategia de gestión de datos y nube. Las medidas tempranas e integrales para garantizar que las empresas sepan qué datos tienen sobre las personas, dónde se almacenan y qué políticas tienen sus proveedores de servicios en la nube para protegerlas y protegerlas serán imperativas para el éxito empresarial en el futuro moderno basado en datos.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación