¿Están listos los CSP para la llegada del RGPD?
Un estudio de Interoute indica los factores a tener en cuenta tres meses antes de la entrada en vigor del Reglamento Europeo de Protección de Datos de Carácter Personal (RGPD). Los proveedores de servicios en la nube han de prestar una atención especial en lo relativo a responsabilidades a la hora de externalizar servicios.
El RGPD es la próxima ley de protección de datos de la UE. A menos de 100 días de que la regulación entre en vigor, las empresas se afanan por cumplir con esta nueva normativa, pero ¿qué pasa con los proveedores externos, como es el caso de los proveedores de servicios cloud (CSP)?
Un reciente estudio nos indica que las empresas tienen previsto trasladar a la nube, en media, casi la mitad (46%) de su infraestructura a lo largo de los próximos seis meses. La investigación realizada por Interoute ha revelado también que el cumplimiento del RGPD es un factor clave para el 35% de las empresas europeas en lo que se refiere a la infraestructura en la nube. En consecuencia, muchas organizaciones podrían verse expuestas si su proveedor de servicios cloud no está a la altura.
El RGPD es una normativa nueva que aún no ha sido ejecutada en la práctica, pero las consecuencias que puede suponer su incumplimiento son considerables, lo que ha desencadenado una reacción instintiva por parte de algunos compradores de servicios en la nube: externalizar el riesgo asociado a la protección de datos, descargando en el procesador de los datos toda la responsabilidad ante las posibles infracciones. Por muy tentador que resulte, externalizar completamente en el proveedor de TI el riesgo asociado al RGPD puede dar lugar a negociaciones largas y complejas.
Según el RGPD, tanto el controlador de datos (generalmente la empresa) como el procesador de datos (a menudo el proveedor del servicio) están obligados a evaluar los riesgos inherentes al procesamiento de los datos personales. Ambos tienen también la obligación de implementar medidas para mitigar los riesgos, como el cifrado. Dichas medidas deben garantizar un nivel adecuado de seguridad, lo que incluye la confidencialidad de toda aquella información que pueda servir para identificar a una persona. Asimismo, deben tener en cuenta el estado de la infraestructura técnica y calibrar los costes de implementación en relación con los riesgos y la naturaleza de los datos personales que deben protegerse.
El auténtico desafío al que se enfrentan las empresas en su día a día radica en conocer bien su inventario de datos y entender por dónde circulan esos datos, lo cual supone especiales dificultades para aquellas empresas en cuya filosofía tradicional los datos nunca se han considerado un factor prioritario. Esas empresas deberán determinar dónde se almacenan los datos personales y quién los administra, así como las reglas de privacidad aplicables en cada caso.
