Apúntate esta checklist técnica sobre RGPD compliance en Cloud
El RGPD (Reglamento General de Protección de Datos) requiere que las empresas protejan los datos personales de sus clientes y empleados en todas las etapas de su ciclo de vida. Cumplir con estos requisitos es, a veces, un reto de grandes proporciones. En un entorno Cloud, al cual migran cada vez más empresas, cumplir con estas exigencias no es muy diferente a hacerlo en cualquier otro entorno, pero tiene sus particularidades.
Cada vez son más las empresas que se plantean migrar al Cloud y aprovechar las ventajas de servicios como SaaS o IaaS para hacer crecer sus negocios. Hace aproximadamente un año, un estudio indicaba que un 60% de las empresas confiarían en el Cloud para 2019. Saber el porcentaje exacto es bastante complicado, pero sí podemos afirmar que hay un movimiento claro y una tendencia a utilizar herramientas basadas en la Nube para la comunicación y la colaboración.
Cuando una empresa se plantea elegir un proveedor de servicios en la Nube que cumpla con el RGPD, se ha de plantear ciertas cuestiones que pueden complicar esa tarea. Es necesario conocer en profundidad la nueva normativa de protección de datos, por un lado, pero por otro hay que tomar decisiones aspectos legales y técnicos para elegir la mejor opción.
Cumplir con el reglamento de protección de datos significa poner en marcha medidas tecnológicas que protejan los datos en la Nube, pero también implica exigir al proveedor la transparencia suficiente acerca del modo en que se tratan y almacenan esos datos. También significa cumplir con ciertos requisitos legales, como disponer de documentos tales como la Política de privacidad y Términos de uso, o un acuerdo de procesamiento de datos — Data Processing Agreement.
Medidas tecnológicas: criptografía
El RGPD recomienda el uso de criptografía para proteger los datos ante filtraciones o usuarios no autorizados, pero no especifica exactamente qué algoritmos utilizar, qué arquitectura o cualquier otro aspecto técnico. Se limita a recomendar ese uso —y por recomendar se entiende que es una condición sine qua non.
Por ello, para elegir nuestro proveedor de servicios en la Nube deberíamos:
- Optar por servicios con cifrado extremo a extremo.
- Preferir aquellos en los que las claves de cifrado se administran por el usuario final, en el lado del cliente.
- Comprobar que se utilizan algoritmos estándar de la industria.
Medidas de seguridad y control adicionales
Con el cifrado extremo a extremo no es suficiente. Un proveedor de servicios en la Nube debe proporcionar métodos de seguridad y control adicionales que protejan los datos de sus usuarios. Una de las características más importantes y deseables en un proveedor es que proteja al máximo las contraseñas de acceso al servicio. Los diferentes casos de filtraciones masivas en servicios muy conocidos, y recientes, son un claro caso de qué no querríamos, como usuarios, en cuanto a seguridad.
Por eso es importante que se ofrezcan soluciones seguras y fiables de autenticación. Los sistemas de protocolo de conocimiento nulo son los más seguros, mientras que, si se ofrecen opciones de autenticación en dos pasos o multicapa, la seguridad será todavía mayor, y así será el cumplimiento de la normativa.
Además, disponer de políticas de protección de datos completas es una garantía adicional. Cuantas más características y herramientas de control se ofrezcan, tanto mejor: gestión de permisos; opciones de auditoría de las actividades del personal relacionadas con la administración de archivos; opciones de backup web como recuperación de archivos eliminados; herramientas de control de dispositivos…
- Comprobar que se administra la autenticación y las contraseñas de los usuarios con altos estándares de seguridad.
- Elegir un proveedor que ofrezca autenticación de múltiples factores.
- Elegir servicios que proporcionen funciones de control de datos, como administración de permisos, políticas de seguridad o revocación de acceso.
Transparencia en la protección de datos
Uno de los principios básicos del RGPD es que los datos personales deben ser procesados siguiendo la legalidad, de manera justa y transparente. Es decir, no solo hay que cumplir con la ley, sino que los usuarios deben saber claramente qué se hace con sus datos, dónde se almacenan, quién tiene permisos de acceso…
El lugar donde residan los datos físicamente es importante. El reglamento no especifica que sea obligatorio almacenar los datos en la Unión Europea, o en España, pero el cumplimiento del RGPD sea más sencillo si los Centros de Datos están en la UE. En el caso de que se involucren terceros países, se necesitan garantías adicionales que debemos exigir.
- Los documentos de Política de privacidad y Términos de uso deben muy claros y estar redactados en lenguaje directo y sencillo, sin ambigüedades.
- En todo momento debemos tener información sobre las ubicaciones del Centro o los Centros de Datos y los servicios de terceros que utiliza el proveedor.
- Es preferible optar por Centros de Datos basados en la UE; para terceros países hay que solicitar garantías adicionales.
- Una buena práctica es solicitar un Informe de Transparencia sobre las solicitudes de datos de los usuarios.
Garantías de protección legal
El RGPD unifica, para toda la Unión Europea, las diferentes normativas de regulación de protección de datos. Es decir, proporciona un marco común que es, en el fondo, de mayor alcance que la suma de las partes. Esta es una de las razones por las que se dice que es un reglamento más estricto y que conlleva una necesaria fase de adaptación.
Por tanto, es vital que el proveedor de servicios en la Nube elegido cumpla con todas las restricciones y obligaciones que establece el RGPD. Esto tiene que estar refrendado por documentación, en cualquier caso, y siempre acorde a lo establecido en los diferentes artículos de la normativa.
- Comprobar que las páginas de Política de Privacidad y Términos de uso incluyen los requisitos específicos expresados en el RGPD.
- Comprobar cómo es la gestión del consentimiento para el uso de datos personales y de terceros por parte del proveedor.
- Solicite un Acuerdo de Procesamiento de Datos que cumpla con el Artículo 28 del RGPD.