La Junta Europea de Protección de Datos (EDPB) compuesta por los reguladores de los 27 países miembros en esta materia, ha emitido una opinión favorable sobre el Código de Conducta CISPE indicando que cumple con el Reglamento General de Protección de Datos (RGPD). Presentado por CNIL, la Data Protection Authority (DPA) francesa, el Código CISPE es el primer código paneuropeo específico para los proveedores de infraestructura en la nube que alcancen ese nivel.
Esta iniciativa pionera de CISPE contribuye a acelerar el desarrollo de servicios cloud en toda Europa garantizando el cumplimiento del RGPD, tanto para consumidores como empresas e instituciones. Al elegir empresas que acrediten su cumplimiento del código CISPE, los clientes de IaaS tienen la seguridad de confiar en proveedores infraestructuras y servicios cloud que cumplen estrictamente la normativa que regula la protección, uso y almacenamiento de los datos.
“El Reglamento General de Protección del Datos fue bien recibido en su momento y el Código CISPE viene a aportar claridad a los requisitos para los proveedores de infraestructura en la nube”, ha declarado Alban Schmutz, presidente de CISPE (Cloud Infrastructure Services Providers in Europe), asociación sin fines de lucro que agrupa a proveedores europeos de infraestructuras y servicios en la nube.
“El Código de Conducta CISPE sobre la protección de datos brinda a los proveedores cloud un marco autorizado para que puedan demostrar el cumplimiento total de sus servicios certificados, proporcionando ejemplos concretos de lo que se espera tanto de ellos como de sus clientes para que ellos y de sus clientes para proteger los datos conforme la normativa del RGPD”, explica Schmutz.
El Código CISPE es único en tres aspectos importantes. Es el primero, y actualmente el único, que se centra exclusivamente en el sector de la infraestructura como servicio (IaaS) y aborda las funciones y responsabilidades específicas de los proveedores de IaaS que no están representados en códigos más generales. Crea confianza entre los clientes y sus usuarios finales de que un servicio IaaS certificado cumple con el RGPD. Y también les asegura que los proveedores de servicios de infraestructura en la nube solo accederán o utilizarán los datos del cliente para mantener o proporcionar el servicio y no con fines publicitarios o de marketing.
Si bien no es un requisito para el cumplimiento del Reglamento, muchas empresas europeas desean conservar la soberanía sobre sus datos asegurándose de que permanezcan dentro de la UE. En este sentido, el Código de Conducta de CISPE ofrece a los clientes de IaaS opciones explícitas para seleccionar servicios que permiten que los datos se procesen por completo dentro del Espacio Económico Europeo. Además, el Código CISPE promueve las mejores prácticas de protección de datos que respaldan la iniciativa europea GAIA-X para la creación de una infraestructura cloud que asegure mucho más la seguridad, la transparencia y la protección de los datos en el ámbito de la UE.
El cumplimiento del Código de Conducta CISPE es verificado por auditores externos independientes acreditados por la Autoridad de Protección de Datos pertinente. Actuando como “organismos de monitoreo”, estos auditores externos fortalecen el nivel de garantía proporcionado por los servicios certificados bajo el código.
En este contexto, el Código de Conducta de CISPE ofrece una relación de organismos de monitoreo independientes que ofrecen una amplia gama de servicios y precios adecuados para la diversidad de negocios en el floreciente sector de la infraestructura y servicios cloud. El cumplimiento del RGPD puede ser complejo y costoso, especialmente para las pymes y empresas emergentes que, con frecuencia, dependen en gran medida de la IaaS y que ahora podrán beneficiarse ampliamente de la facilidad de uso y la rentabilidad que permite el Código CISPE.
“CISPE ha sido la primera organización sectorial que se ha involucrado y ha trabajado de la mano con los reguladores y las instituciones de la UE para definir un código que va más allá de los requisitos del RGPD para proteger los intereses de los proveedores de infraestructura cloud y de sus clientes y usuarios finales”, ha subrayado Alban Schmutz.
Diego Cabezudo, CEO y co-fundador de Gigas (único miembro español de CISPE) ha declarado que “la infraestructura en la nube es la base de nuestra economía digital y necesitamos que sea robusta y confiable, de modo que podamos construir servicios digitales seguros para los ciudadanos y las instituciones del sector público con la plena confianza de que cumplimos con el RGPD”. Además “saber que el proveedor de cloud sigue el Código de Conducta CISPE supone tener las garantías necesarias para satisfacer tanto a los reguladores como a los usuarios de la nube en materia de protección de datos”, añade Cabezudo.
Los proveedores de servicios en la nube que adopten el Código de Conducta CISPE, estarán obligados a un conjunto de reglas exigibles para garantizar el cumplimiento del RGPD en la prestación de sus servicios, y contarán con una guía práctica y operativa para acometerlas.