La aplicación del Reglamento General de Protección de Datos (RGPD) desde el pasado 25 de mayo, hace replantearse más que nunca la fiabilidad de los servicios en la nube. Su aparente seguridad ha llevado a muchas organizaciones a almacenar allí la mayoría de sus datos.
Así, el Supervisor Europeo de Protección de Datos (SEPD) ha publicado una guía para minimizar los riesgos asociados a esta práctica acorde con los requisitos del RGPD. En primer lugar, el SEPD señala que es esencial conocer lo máximo posible sobre los proveedores de servicios en la nube (CSP) antes de comprometerse con ellos. Es fundamental asegurarse de que las garantías de protección propuestas por el servidor son correctas y cumplen con los requisitos de las normas de seguridad de la información.
En segundo lugar, esta guía recomienda identificar los roles necesarios para usar un CSP, asignar las tareas correspondientes y llevar a cabo las políticas y procedimientos adecuados para gestionar los servicios en la nube. Además, se deberá formar a los responsables de departamentos implicados, así como a los directores financieros, propietarios del negocio, distribuidores y empleados del área de tecnología sobre los riesgos de protección de datos asociados a usar estos servicios.
El tercer paso es acordar todos los detalles con el proveedor elegido. Los puntos a tratar serán:
- El CSP procesará los datos personales de la compañía siguiendo las instrucciones facilitadas y documentadas.
- El personal autorizado a tratar la información personal deberá comprometerse con todos los aspectos relacionados con la confidencialidad.
- Las responsabilidades y obligaciones de las diferentes partes (incluidas las de los subprocesadores si los hay) deben estar bien definidas.
- El CSP apoyará a la organización en el cumplimiento de sus obligaciones propias como controlador de datos y con el SEPD.
- Existen disposiciones que otorgan a la compañía el derecho de auditar el CSP por sí mismo o a través de un tercero.
- La organización debe conocer la ubicación del CSP y de cualquier subprocesador.
- La organización debe conocer las operaciones de procesamiento de datos (incluidas las copias de seguridad) del CSP y de cualquier subprocesador.
- No se involucrará a otro procesador sin la autorización previa por escrito de la organización.
- No se divulgará información a los organismos de orden público si no está expresamente autorizado por la legislación europea.
- Concretar los procedimientos de portabilidad, recuperación y eliminación de datos.
- La empresa puede solicitar la eliminación o devolución de todos los datos personales cuando finalice la provisión de estos servicios.
Para leer la guía completa del SEPD sobre los servicios en la nube, haz clic aquí.
RGPD: cómo adaptarlo
Abordar las sugerencias del SEPD lo antes posible te ayudará a cumplir el nuevo Reglamento. En las últimas semanas, se han publicado muchas informaciones sobre cómo una organización tiene que adaptar la nueva regulación de protección de datos. Sin embargo, sigue habiendo gran confusión.
Para que ajustar tu empresa al RGPD no te suponga un problema, desde IT Governance te recomendamos este libro verde ecológico para conocer todas las novedades de la nueva normativa europea. ¡Es gratis!
Consigue tu guía esencial RGPD >>
Digital Marketing at IT Governance Ltd