Hablamos de los puntos clave para cumplir el RGPD trabajando en entornos en la nube.
Apenas faltan unos meses para el cuarto aniversario del Reglamento General de Protección de Datos (RGPD). Desde la entrada en vigor de esta normativa europea, las empresas han tenido que hacer muchos esfuerzos para cumplirla y evitar multas cuantiosas.
Sin embargo, a diferencia de las grandes organizaciones, muchos negocios no pueden dedicar equipos enteros a elaborar una estrategia de protección de datos y asegurar su implementación en todo momento.
Para estas empresas, la computación en la nube puede ser de gran ayuda. Por eso, hoy abordaremos brevemente qué medidas de diligencia debida hay que aplicar para elegir un proveedor de servicios cloud.
Aspectos fundamentales de la normativa de protección de datos
Para simplificar el cumplimiento normativo, la Agencia Española de Protección de Datos (AEPD) ha creado una guía para responsables del tratamiento. Entre sus obligaciones generales, están:
- Obtener y procesar los datos personales con el consentimiento informado, expreso e inequívoco de cada ciudadano. Esto está relacionado con el derecho de acceso, es decir, el derecho a conocer el tipo de datos que se van a tratan, y el de oposición, por el cual puede negarse al tratamiento de sus datos.
- Mantener los datos actualizados y veraces (relativo al derecho de rectificación de datos incompletos o erróneos).
- Usar la información únicamente para los propósitos especificados y conservarla solo el tiempo necesario para llevar a cabo dichos propósitos.
- Documentar claramente las actividades de tratamiento de datos.
- Garantizar el derecho al olvido (borrado de los datos) y a la portabilidad (entrega a cualquier persona que lo desee de una copia de sus datos personales en un formato estructurado y común).
- Garantizar la seguridad de los datos, incluido mediante cifrado, y velar por su privacidad almacenándolos en lugares seguros. Las medidas concretas dependen del tipo de datos que se traten, cómo y con qué finalidad.
- Cumplir el principio de responsabilidad activa, es decir, adoptar desde el inicio medidas para evitar riesgos y filtraciones de datos.
- Establecer protocolos para comunicar las brechas de seguridad en un plazo máximo de 72 horas, así como información sobre el alcance de dicha brecha.
Así puede ayudar la nube a cumplir el RGPD
Entre los requisitos de seguridad y responsabilidad del RGPD, se incluyen tener copias de los datos personales que se manejan —una de las cuales deberá guardarse en otro equipo informático— y contar con un protocolo de recuperación.
En este sentido, los entornos en la nube son útiles por varias razones:
- Recuperación completa de la información. Con la computación en la nube, es prácticamente imposible que se pierdan los datos, porque los proveedores suelen tener procesos de respaldo mediante copia de seguridad automática en caso de desperfecto.
- Disponibilidad de la información. Los servicios de almacenamiento o de software en la nube facilitan el registro detallado de las actividades llevadas a cabo y permiten cumplir los requisitos de actualización, borrado y portabilidad de la información de forma más práctica y sencilla, ya que se puede acceder a los datos en cualquier momento y lugar.
- Tecnología actualizada y segura. Los proveedores especializados, por la naturaleza de sus servicios, aplican recursos y medidas que muchas empresas no pueden dedicar, sobre todo en lo referente a la seguridad del hardware.
Cómo usar la nube y cumplir el RGPD
Desde un punto de vista jurídico, el responsable último del tratamiento de la información es la empresa que ha obtenido los datos. Por tanto, antes de elegir a sus proveedores, debe asegurarse de que estos cumplen la normativa.
Para ello, en primer lugar debe averiguar si los datos se almacenan en servidores ubicados fuera de la Unión Europea. De ser así, el país en cuestión debe haber firmado un acuerdo de suficiencia en materia de protección de datos. Es decir, las leyes de dicho Estado deben haberse declarado oficialmente compatibles con las de la Unión.
La gestión de la información también es importante. Así, el personal de la empresa debe saber exactamente dónde están los datos más sensibles (aislamiento de datos) y comprobar que estos se cifran.
Otro factor fundamental son las salvaguardias de seguridad: conviene que el proveedor cuente con soluciones de red que incluyan prevención de ataques (p. ej. cortafuegos avanzados), análisis automatizados y medidas de contención.
Algunos proveedores se avalan mediante certificaciones como los informes SOC 1, SOC 2 y SOC 3. En cualquier caso, en la guía de la AEPD para contratar servicios en la nube encontrarás más información sobre cómo elegir un proveedor.
Por otro lado, las empresas deben poner todos los medios para proteger los datos antes de subirlos a la nube. Así, en un entorno híbrido en el que se usen aplicaciones in situ y en la nube, es crucial:
- Bloquear en la capa DNS las herramientas que no se ajustan a la normativa. El simple hecho de usar aplicaciones no autorizadas para compartir información se considera una fuga que puede acarrear una infracción grave.
- Establecer un sistema claro de administración. Para que los datos no se modifiquen ni se procesen sin autorización, hay que definir quién puede acceder a la red, con qué permisos y a qué nivel de seguridad.
- Revisar los ajustes sobre protección de datos que presentan por defecto los servicios de almacenamiento en la nube antes de poner en marcha el sistema.
Te ayudamos a cumplir la ley de protección de datos
En Nominalia te ponemos muy fácil llevar tu empresa a la nube con el paquete de soluciones Microsoft 365 y nuestros servidores cloud.
Además, con nuestro servicio sobre la Ley de Protección de Datos, te ayudamos a adaptar tu web o tienda online a las normativas RGPD/LSSICE: ponte en contacto y, según el tipo de datos que maneje tu negocio, recibirás los avisos legales que debes publicar, así como los protocolos para implantar, el documento de registro de actividades y demás documentación para estar cubiertos legalmente.
¡Llámanos al 93 288 40 62 si tienes cualquier duda!
