En poco menos de un año, el Reglamento General de Protección de Datos europeo (RGPD) entrará en vigor el 25 de mayo de 2018. Los particulares tendrán derecho a recibir información exhaustiva sobre el tratamiento de sus datos personales a petición de las empresas a las que hayan confiado sus datos en el curso de una relación comercial. Las empresas, a su vez, estarán sujetas al control de los organismos estatales de auditoría, por lo que se les exigirá que garanticen no sólo la seguridad, sino también la transparencia en sus procedimientos de tratamiento de datos.
Las empresas tienen una responsabilidad especial cuando se trata del uso de aplicaciones en la nube. Aunque el RGPD establece una responsabilidad compartida entre los usuarios y los proveedores de la nube, en última instancia son las empresas que utilizan la nube las responsables. En su calidad de encargados del tratamiento, asumen más o menos el papel de guardianes entre sus clientes y los proveedores de la nube. Según el RGPD, ahora es su responsabilidad garantizar que todos los datos recogidos se procesen únicamente de la manera que sus clientes y usuarios hayan acordado explícitamente de antemano.
Se trata de un gran reto, teniendo en cuenta que no todas las empresas disponen de los recursos necesarios para adaptarse fácilmente a esta función. Por tanto, para que el frente de la nube sea seguro en los 12 meses que quedan, las empresas deberían tener en cuenta actualmente los siguientes puntos:
Índice de contenidos
1. «búsqueda» coordinada de los datos de la empresa
Para que la infraestructura de TI de la empresa cumpla el GDPR, el departamento de TI suele colaborar estrechamente con varios departamentos, así como con la dirección, para crear un directorio de procedimientos, es decir, una visión general de los procedimientos de tratamiento de todos los tipos de datos recopilados, por ejemplo, datos personales, datos de contenido o datos de tráfico. Los datos personales no son sólo información sobre la persona, sino también otros datos que hacen identificable a una persona física, como la dirección IP. Para las empresas que planean trasladarse a la nube o que ya lo han hecho, esto significa que primero deben determinar qué tipo de datos de los clientes llegan a la nube en las operaciones diarias y, por último, pero no menos importante, cómo se protegen allí. Por ejemplo, los datos de contenido podrían externalizarse a aplicaciones de correo electrónico en la nube, o los datos de tráfico podrían ir allí a través de determinadas herramientas de análisis de sitios web.
Dependiendo de las capacidades y la carga de personal de la empresa, no es tarea fácil averiguar hasta qué punto los datos van a migrar o han migrado ya a la nube. Pero alguien tiene que hacerlo, o dicho de otro modo: alguien tiene que asumir la responsabilidad. Es importante implicar en el proceso a todos los directivos relevantes de la empresa. Pero para evitar la difusión de responsabilidades, estos esfuerzos deben coordinarse. Es demasiado tarde para volver a cambiar el directorio de procedimientos y todos los procesos relacionados -por ejemplo, la obtención del consentimiento de los clientes- en vísperas del GDPR debido a una aplicación en la nube recién introducida. Por lo tanto, el propio responsable de protección de datos de la empresa exigido por el RGPD debe ser nombrado en una fase temprana e, idealmente, encargarse de la coordinación de los procesos relevantes para el RGPD.
2. identificar el tratamiento de datos por parte de los proveedores de la nube
Una vez creado el directorio de procedimientos, se debe pedir a los proveedores de la nube que entreguen su directorio de procedimientos. En comparación, se puede determinar hasta qué punto el tipo de tratamiento y también los estándares de seguridad se corresponden con los de la empresa o, en el caso contrario, hasta qué punto estos van más allá y si se debe obtener un consentimiento ampliado de los clientes para ello. Según los resultados, debe actualizarse la política de privacidad de la empresa.
El GDPR también prevé la certificación de los proveedores de servicios en nube. Se supone que el nivel de protección de datos y seguridad de un proveedor debe representarse de forma fiable mediante diversos sellos de aprobación. Sin embargo, aún no se han establecido normas uniformes y la certificación es voluntaria. Cabe suponer que los sellos de aprobación se convertirán a largo plazo en un criterio competitivo para los proveedores de servicios en nube. Pero no es previsible que todos los proveedores en nube lo apliquen a tiempo para la entrada en vigor de la DSGVO. Para ir sobre seguro a tiempo, las empresas no deberían confiar en que el simple hecho de mirar un sello de aprobación les ahorrará mucho esfuerzo. Más bien, deben comprobar a fondo los procedimientos de tratamiento de datos de sus proveedores de servicios en la nube y prestar atención también a las funciones de seguridad utilizadas, como la prevención de fuga de datos (DLP). Dada la amenaza de multas a la que pueden enfrentarse las empresas si los proveedores de la nube que eligen no ejercen la diligencia debida suficiente, merece la pena ser extremadamente concienzudo en el proceso de revisión.
3. evitar las TI en la sombra y formar a los empleados para el GDPR
Con los cambios introducidos por el GDPR, las empresas también deben prestar más atención a qué empleados de la empresa tienen acceso a qué tipos de datos y, sobre todo, desde qué dispositivos. En la medida de lo posible, debe evitarse que los empleados accedan a datos importantes de clientes y de la empresa desde un dispositivo privado no seguro después del trabajo, por ejemplo, y que los guarden a voluntad o los editen con otras aplicaciones en la nube. Del mismo modo, todos los empleados deben ser conscientes de que, en caso de fallo de un servicio crítico para la empresa -por ejemplo, un fallo del servidor de correo electrónico-, no pueden cambiar mientras tanto a otras cuentas de correo electrónico privadas u otros servicios de libre acceso para completar después la correspondencia urgente con sus clientes. Para estos casos, hay que agudizar la sensibilidad de los empleados por la seguridad de los datos y establecer normas de conducta. Estas medidas de precaución requieren a veces el apoyo del responsable de protección de datos y de la dirección. Las precauciones técnicas, como cifrar los datos en la nube y proteger todos los dispositivos móviles de la empresa, también pueden ayudar a minimizar estos riesgos. También es útil desarrollar un concepto de derechos y funciones para segmentar los derechos de acceso y restringir el acceso de los usuarios a los datos sensibles.
El GDPR crea una norma europea para la protección de datos en la era digital. Queda por ver en la práctica cómo se desarrollará la jurisdicción al respecto para los proveedores de servicios en la nube y las empresas que los utilizan. Por el momento, la introducción de procesos conformes al GDPR es un reto importante para las empresas, para algunas más, para otras menos. Pero a largo plazo, también ofrece a las empresas la oportunidad de diferenciar sus políticas de tratamiento de datos de las de sus competidores y ampliar su base de clientes. Así que merece la pena ser concienzudo con la seguridad de los datos de los clientes desde el principio, tanto dentro de su propia TI corporativa como en la nube.
Eduard Meelhuysen, Vicepresidente de Ventas para EMEA, Bitglass