Conócenos

PROTECCIÓN DE DATOS

Es hora de revisar sus contratos: cómo el RGPD cambiará la relación entre las organizaciones y los proveedores de servicios en la nube

Por Álvaro Palencia

  • Imprimir

Álvaro Palencia

Hasta ahora, casi todas las organizaciones saben cómo RGPD cambiará los derechos de los individuos sobre poseer sus propios datos cuando entre en vigencia el 25 de mayo de 2018. Un principio clave que establece el RGPD es el principio de responsabilidad. Depende de la organización que necesita datos personales para un cierto propósito, denominado controlador de datos bajo el RGPD, garantizar el cumplimiento de los principios de privacidad no solo dentro de sus “paredes”, sino también entre proveedores con los que podría compartir los datos y subcontratistas que podrían procesar datos en su nombre, conocidos como el procesador de datos. Los proveedores de la nube son ejemplos perfectos de procesadores de datos con los que su organización podría tener que lidiar en su proyecto de cumplimiento del RGPD. 

Entonces, ¿qué pasos debe tomar una organización para construir dicha cultura y garantizar la responsabilidad más allá del firewall de su empresa e incluso de las transferencias transfronterizas de datos? Muchas organizaciones están empezando a darse cuenta del grado de preparación que se requerirá para hacer esto realidad. 

Una encuesta de 2016 realizada por NetApp de los responsables de la toma de decisiones de TI en el Reino Unido descubrió que el 35% cree que la responsabilidad de los datos de una organización recae en sus proveedores externos, mientras que el 3% no sabía quién sería responsable. Las empresas están lidiando con el cumplimiento del RGPD durante un momento de crecientes preocupaciones de seguridad tras algunas brechas de datos masivas recientes como Equifax y Alteryx/Experian que refuerzan la importancia de la responsabilidad de los datos. Bajo el RGPD, la responsabilidad de los datos se asienta firmemente en el controlador de datos, la organización que recopila los datos personales en primera instancia y luego se conecta en cascada con las otras partes interesadas cuando lo procesan. 

Debido a este principio de responsabilidad, las organizaciones deben determinar su estrategia de privacidad con respecto a la nube. La reacción instintiva podría ser evitar el almacenamiento en la nube para datos personales y, en su lugar, recurrir al almacenamiento local. El enfoque de Lenovo con respecto al análisis del cliente es un ejemplo perfecto de esta táctica. Decidieron hacer una arquitectura híbrida de Big Data de Amazon Web Services (AWS) para beneficiarse de la nube, mientras usaban sus propios servidores para mantener la privacidad y seguridad de los datos más confidenciales. Otros podrían considerar que la nube es la forma más efectiva y segura de enfrentar los desafíos de la nueva legislación de privacidad de datos. Pero entonces, deben ser más minuciosos en su proceso de adquisición en la nube, para asegurarse de que ambas partes comprendan los riesgos, las responsabilidades y los requisitos que el proveedor de la nube deberá cumplir. 

eBook - Plan de gobernabilidad de datos de 16 pasos para RGPD 

Algunas organizaciones pueden incluso no tener la capacidad de elegir proactivamente entre las dos estrategias para sus sistemas heredados: un artículo inspirador del Cloud Industry Forum afirma que una empresa europea promedio está usando efectivamente 608 aplicaciones en la nube, pero debido a las TI en las sombras, está subestimando este número en un 90%. Asegurarse de que todas las aplicaciones en la nube que contienen datos personales sean referenciadas es el primer y principal desafío. Las organizaciones necesitan rastrear toda su infraestructura de datos para crear y mantener un mapa constante y preciso de sus datos. Luego, deben prestar especial atención cuando se trata de sistemas de terceros como CRM, recursos humanos, infraestructuras o plataformas como servicio o análisis basados en la nube. Esto será especialmente importante ya que necesitarían evaluar la preparación de RGPD de su proveedor de servicios en la nube como procesador de datos y asegurarse de que su contrato incluya un acuerdo de procesamiento de datos. Del mismo modo, los controladores de datos deben asegurarse de que pueden borrar los datos de sus proveedores de la nube cuando dejen de usar el servicio en la nube. Como los consumidores podrán solicitar información sobre, o la eliminación de, todos los datos personales que una empresa tiene sobre ellos, el controlador de datos tiene que garantizar que puedan cumplir con este tipo de requisitos a través de su proveedor de la nube. 

También necesitan definir claramente el equilibrio de responsabilidad en caso de una violación de datos. Mientras que, bajo el RGPD, el controlador de datos (la organización que procesa los datos que capturaron de sus datos) es responsable en última instancia de prevenir y reportar infracciones de datos razonablemente, las organizaciones deben asegurarse de que su procesador de datos (el proveedor de servicios en la nube) sea contractualmente se requiere que también asuma la responsabilidad de la seguridad de los datos almacenados. Esto es particularmente importante en términos de la responsabilidad del controlador de datos de notificar a la autoridad de supervisión, dentro de las 72 horas y sin demora indebida de cualquier violación de datos. Esto requerirá que los proveedores de la nube (como controladores de datos) se aseguren de notificar a las organizaciones sobre cualquier amenaza de seguridad lo más rápido posible, y debe ser una consideración importante en la selección de un nuevo proveedor de la nube. 

¿Estás listo para GDPR? 

Las organizaciones también necesitarán tener un interés mucho más activo en la ubicación física de los centros de datos de un proveedor de servicios en la nube. Bajo el RGPD, hay países específicos fuera de la UE, solo unos pocos, que están autorizados para el almacenamiento de los datos de los ciudadanos de la UE. Si su proveedor de servicios en la nube está almacenando su información en un centro de datos que está fuera de estas regiones, deberá asegurarse de que existen Reglas Corporativas Vinculantes para mantener los datos en conformidad con el RGPD. Al mismo tiempo, esta información de ubicación también será esencial para cumplir con cualquier reglamentación local adicional en la industria y otros territorios regionales en los que opera la organización. Será esencial que las organizaciones trabajen con proveedores de la nube que puedan proporcionar información clara y transparente información de ubicación para su almacenamiento de datos, o bien introducir un riesgo innecesario. 

Siempre que esté trabajando con un proveedor de la nube confiable, y una vez que haya establecido los principios de control de datos que mantenga el control de los datos dondequiera que se procesen, la nube puede ser un recurso valioso para almacenar datos personales y mantener el cumplimiento del RGPD. De hecho, muchos proveedores de la nube ya han allanado el camino al soporte del RGPD, por lo que trabajar con esos proveedores de la nube conocedores puede ayudar a las organizaciones a acelerar su cumplimiento. No obstante, asegurarse de que está familiarizado con las políticas y la estrategia del RGPD de su proveedor será crucial para todas las organizaciones con las se vaya a trabajar sabiendo que la fecha límite para empezar a cumplir es el 25 de mayo. 

El RGPD será un cambio significativo en la forma en que las organizaciones abordan los datos personales y su estrategia de gestión de datos y nube. Las medidas tempranas e integrales para garantizar que las empresas sepan qué datos tienen sobre las personas, dónde se almacenan y qué políticas tienen sus proveedores de servicios en la nube para protegerlas y protegerlas serán imperativas para el éxito empresarial en el futuro moderno basado en datos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

ebook gratuito

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ENTREVISTAS

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

feedburner

Reciba LAW & TIC de forma gratuita.

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17