El GDPR es la próxima ley de protección de datos de la UE. A menos de 100 días de que la regulación entre en vigor, las empresas se afanan por cumplir con esta nueva normativa, pero ¿qué pasa con los proveedores externos, como es el caso de los proveedores de servicios “cloud” (CSP)?
Un reciente estudio nos indica que las empresas tienen previsto trasladar a la nube, en media, casi la mitad (46%) de su infraestructura a lo largo de los próximos seis meses. La investigación realizada por Interoute ha revelado también que el cumplimiento del GDPR es un factor clave para el 35% de las empresas europeas en lo que se refiere a la infraestructura en la nube. En consecuencia, muchas organizaciones podrían verse expuestas si su proveedor de servicios cloud no está a la altura. En estas circunstancias, ¿cuáles son las áreas clave en las que deberían enfocarse las organizaciones antes del 25 de mayo?
Asumir la responsabilidad
El GDPR es una normativa nueva que aún no ha sido ejecutada en la práctica, pero las consecuencias que puede suponer su incumplimiento son considerables, lo que ha desencadenado una reacción instintiva por parte de algunos compradores de servicios en la nube: externalizar el riesgo asociado a la protección de datos, descargando en el procesador de los datos toda la responsabilidad ante las posibles infracciones. Por muy tentador que resulte, externalizar completamente en el proveedor de TI el riesgo asociado al GDPR puede dar lugar a negociaciones largas y complejas.
Según el GDPR, tanto el controlador de datos (generalmente la empresa) como el procesador de datos (a menudo el proveedor del servicio) están obligados a evaluar los riesgos inherentes al procesamiento de los datos personales. Ambos tienen también la obligación de implementar medidas para mitigar los riesgos, como el cifrado. Dichas medidas deben garantizar un nivel adecuado de seguridad, lo que incluye la confidencialidad de toda aquella información que pueda servir para identificar a una persona. Asimismo, deben tener en cuenta el estado de la infraestructura técnica y calibrar los costes de implementación en relación con los riesgos y la naturaleza de los datos personales que deben protegerse.
Para poder avanzar, es fundamental que las empresas comprendan sus flujos de datos, garanticen que todos los que toman las decisiones conozcan la nueva reglamentación, y sepan qué es necesario para garantizar el necesario cumplimiento del GDPR.
El auténtico desafío al que se enfrentan las empresas en su día a día radica en conocer bien su inventario de datos y entender por dónde circulan esos datos, lo cual supone especiales dificultades para aquellas empresas en cuya filosofía tradicional los datos nunca se han considerado un factor prioritario. Esas empresas deberán determinar dónde se almacenan los datos personales y quién los administra, así como las reglas de privacidad aplicables en cada caso.
¿Qué se puede hacer?
EL GDPR exige que las organizaciones (los controladores de datos) solo utilicen procesadores de datos que sean capaces de garantizar formalmente el cumplimiento de los requisitos del GDPR y la protección de los derechos de las personas (los “interesados”, en la terminología del GDPR).
Lo cierto es que gran parte del riesgo subyacente al GDPR radica en la forma en que las organizaciones utilizan la nube. Las organizaciones deben trabajar con proveedores de confianza que tengan establecidos e integrados en su operativa estrictos controles de seguridad y requisitos de privacidad. A falta de unos criterios de acreditación oficiales, eso implica para las organizaciones la necesidad de acometer una exhaustiva auditoría o evaluación previa de las competencias de su proveedor de servicios en la nube, para verificar su grado de cumplimiento de la normativa. Si bien las evaluaciones realizadas por terceros pueden servir de referencia, no son garantía absoluta de cumplimiento normativo. Los clientes deben considerar otros factores, como las acreditaciones de seguridad relevantes, el lugar donde se almacenan los datos, las relaciones con los organismos competentes del sector, y los códigos de conducta.
Un producto “preparado para el GDPR” inspirará confianza tanto a los clientes como a los interesados a los que afecta el tratamiento de los datos. Pero cumplir la normativa en un momento determinado no basta. Los proveedores cloud deben tener experiencia en el desarrollo, mantenimiento y mejora continua de los procesos necesarios para llevar a cabo actividades a gran escala, e implementar de manera eficiente y rentable los regímenes de seguridad y cumplimiento normativos que el GDPR exige a los procesadores de datos como obligaciones permanentes.
Dado que los proveedores de servicios cloud tienen la obligación legal de determinar las medidas técnicas y organizativas necesarias para proteger los datos de sus clientes, por ejemplo, la gestión de seguridad ISO 27001 y la gestión de servicios ISO 20000 en instalaciones y productos, los proveedores que llevan mucho tiempo custodiando los datos de sus clientes (como es el caso de Interoute) están mejor posicionados para comprender y abordar los desafíos técnicos y organizativos asociados a la protección de dichos datos, y pueden reaccionar con más eficacia ante cualquier violación de la normativa al respecto.
Las organizaciones no deben limitarse a buscar proveedores de servicios cloud que puedan acreditar el cumplimiento de estos estándares, sino también preguntar cuántos de los empleados del proveedor han obtenido esas mismas acreditaciones. Este aspecto, junto con la buena reputación y la pertenencia y participación activa en los organismos competentes dentro del sector, será la prueba más clara de que el proveedor se toma en serio el cumplimiento de la GDPR, tanto en la letra como en el espíritu de la ley.
Al igual que sucede con cualquier régimen normativo, el cumplimiento permanente del GDPR es un proceso continuo. Contar con un catálogo de productos “preparados para el GDPR” transmitirá confianza tanto a los clientes como a los interesados a los que afecta el tratamiento de los datos. Pero las empresas deben trabajar con asesores y socios de confianza si quieren tener la certeza de que van a estar preparados para superar los obstáculos que el GDPR va a suponer para sus negocios.