El Supervisor Europeo de Protección de Datos publica una guía sobre los servicios en la nube

La aplicabilidad del Reglamento General de Protección de Datos (RGPD), desde el pasado 25 de mayo en toda la Unión Europea, hace replantearse la fiabilidad de los servicios en la nube. Su aparente seguridad ha llevado a muchas organizaciones a almacenar allí la mayoría de sus datos personales.

Así, el Supervisor Europeo de Protección de Datos (SEPD) ha publicado una guía para minimizar los riesgos asociados a esta práctica acorde con los requisitos del RGPD. En primer lugar, el SEPD señala que es esencial conocer lo máximo posible sobre los proveedores de servicios en la nube (CSP) antes de comprometerse con ellos. Es fundamental asegurarse de que las garantías de protección propuestas por el servidor son correctas y cumplen con los requisitos de las normas de seguridad de la información.

En segundo lugar, esta guía recomienda identificar los roles necesarios para usar un CSP, asignar las tareas correspondientes y llevar a cabo las políticas y procedimientos adecuados para gestionar los servicios en la nube. Además, se deberá formar a los responsables implicados, así como a los directores financieros, propietarios del negocio, distribuidores y empleados del área de tecnología sobre los riesgos de protección de datos asociados a usar estos servicios.

El tercer paso será acordar todos los detalles con el proveedor elegido. Los puntos a tratar serán:

  • El CSP procesará los datos personales de la compañía siguiendo las instrucciones facilitadas y documentadas.
  • El personal autorizado para trabajar con la información personal deberá comprometerse con todos los aspectos relacionados con la confidencialidad.
  • Las responsabilidades y obligaciones de las diferentes partes (incluidas las de los subprocesadores si los hay) deben estar bien definidas.
  • El CSP apoyará a la organización tanto en el cumplimiento de sus obligaciones propias como controlador de datos y como en las del SEPD.
  • Existen disposiciones que otorgan a la compañía el derecho a auditar el CSP por sí mismo o a través de un tercero.
  • La organización debe conocer la ubicación del CSP y de cualquier subprocesador.
  • La organización debe conocer las operaciones de procesamiento de datos del CSP (incluidas las copias de seguridad) y de cualquier subprocesador.
  • No se involucrará a otro procesador sin la autorización previa por escrito de la organización.
  • No se divulgará información a los organismos de orden público si no está expresamente autorizado por la legislación europea.
  • Se deben concretar los procedimientos de portabilidad, recuperación y eliminación de datos personales.
  • La empresa puede solicitar la eliminación o devolución de todos los datos cuando finalice la provisión de los servicios.

Para leer la guía completa del SEPD sobre los servicios en la nube, haz clic aquí. 

RGPD: cómo adaptar la nueva legislación   

 

Abordar las sugerencias del SEPD lo antes posible te ayudará a cumplir el nuevo Reglamento General de Protección de Datos. En las últimas semanas, se han publicado muchas informaciones sobre cómo una organización tiene que adaptar la nueva regulación de protección de datos. Sin embargo, sigue habiendo confusión.

Para que ajustar tu empresa al Reglamento no sea un problema y puedas estar tranquil@ sobre la veracidad y la exactitud de la información y los procedimientos, desde IT Governance te ofrecemos nuestro curso certificado que tendrá lugar próximamente en Madrid y Barcelona.

Infórmate sobre tu curso de introducción al RGPD >>

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.