Reglamento General de Protección de Datos y la Cloud, aspectos a considerar

0
696

La normativa europea del Reglamento General de Protección de Datos (RGPD) ha provocado una complicada adaptación por parte de las empresas que han puesto sus esfuerzos en cumplirla y en esquivar las multas concentradas en dicho reglamento.

A pesar de ello, existen otras empresas que no tienen los recursos para destinar profesionales a crear un plan de protección de datos acorde de los requisitos de la normativa.

Debido a este motivo, la herramienta nube puede suponer un alivio para estas empresas que podrán aplicar medidas de diligencia con el fin de optar por un proveedor de servicios cloud.

Requisitos principales estipulados en la RGPD

Destinado para aquellas personas responsables de esta materia, la Agencia Española de Protección de Datos (AEPD) ha llevado a cabo una serie de requisitos indispensables pertenecientes a la normativa europea:

  • Asegurar al usuario que sus datos serán almacenados de forma segura, incluyendo el cifrado, protegiendo su privacidad. Las medidas a tomar dependerán del tipo de datos, los objetivos con los que se utilizarán y la manera de utilizarlos.
  • Asegurar el derecho a la portabilidad por la que se pone a disposición de la persona una copia con su información personal y el derecho al olvido con el que se garantiza borrar la información
  • Relacionado con el derecho de rectificación de información errónea o sin completar, hay que actualizar los datos y su veracidad.
  • Tomar medidas con el fin de evitar que los datos se filtren y cualquier tipo de riesgo, garantizando el principio de responsabilidad activa.
  • Crear protocolos para que el usuario sea conocedor de las brechas de seguridad y de su alcance en menos de tres días.
  • Hacer uso de los datos obtenidos solamente para los fines que se concretar y conservar esos datos únicamente durante el tiempo necesario hasta conseguir los objetivos
  • Adquirir y procesar la información personal de los ciudadanos con su expreso conocimiento previo del uso de sus datos. De este punto emanan dos derechos del ciudadano: el derecho a oposición que les da la potestad de negarse al uso de su información; y el derecho de acceso el cual obliga a informar sobre el tipo de información que va a ser tratada.
  • Justificar con documentación concisa qué acciones se van a llevar a cabo con la información solicitada

Las ventajas de la nube en cuanto a protección de datos

Dentro de las condiciones de obligado cumplimiento, se requiere crear copias de información personal, una de ellas para ser almacenada en otro equipo informático y un protocolo sobre recuperación de datos.

Respecto a ello, los servicios de la nube ofrecen varias ventajas:

  • Seguridad y actualización en su tecnología. Debido a su naturaleza, los proveedores de estos servicios poseen numerosas herramientas y recursos que garantiza la seguridad del hardware, entre otros aspectos, que la mayoría de las empresas no poseen.
  • Recuperar datos completos. A través de la nube, es imposible perder la información obtenida, ya que los proveedores crean copias de seguridad automática a través de procedimientos de respaldo en el supuesto de daños.
  • Poner a disposición los datos. El almacenamiento en la nube facilita que se registre exhaustivamente las medidas que se vayan a llevar a cabo, garantizando el cumplimiento de las condiciones de portabilidad, actualización y borrado de los datos. Esto se realiza de una manera más práctica, debido a que el acceso a los datos se puede realizar desde cualquier localización y momento.

Cómo utilizar la nube según los requisitos del RGPD

El tratamiento de los datos obtenidos tiene como último responsable la empresa si se observa desde el ámbito jurídico. Es por ello, por lo que se debe confirmar que los proveedores cumplen con lo estipulado en el reglamento.

Uno de los aspectos de los que hay que conocer es si la información se está acumulando en servidos fuera o dentro de la Unión Europea. En el caso de estar en un país fuera de dicho territorio, este Estado debe tener un acuerdo de suficiencia en cuanto a la protección de la información. En otras palabras, la legislación de ese país debe ser compatible con la normativa vigente en la Unión Europea.

Los profesionales de la empresa también deben asegurarse de cómo se gestionan los datos. Para ello, deben conocer dónde se están aislando la información más sensible y si los datos están siendo cifrados.

Las salvaguardias de seguridad son otro aspecto a tener en cuenta. Es recomendable que el proveedor elegido posea herramientas resolutorias de red como cortafuegos para evitar ataques, una estrategia de contención y análisis automatizados.

Existe una serie de certificaciones con los que se garantiza a los proveedores. Un ejemplo de ello, son los informes SOC 1, SOC 2 y SOC 3. Esto supone una guía para los usuarios para decantarse por un proveedor u otro.

Previamente a la subida de la información a la nube, las empresas deben poner todo su esfuerzo en proteger dicha información. Cuando la empresa empiece a utilizar aplicaciones en la nube e in situ, algunas medidas a llevar a cabo son las siguientes:

  • Previamente a poner en funcionamiento el sistema, se debe analizar los ajustes preestablecidos sobre protección de datos en los servicios de almacenamiento.
  • En la sección DNS, hay que bloquear aquellas herramientas que no cumplen con el reglamento. Hacer uso de herramientas no autorizadas para transmitir datos puede tener como castigo una multa grave al considerarse como fuga.
  • Crear una estructura clara de administración. En los procedimientos de procesar los datos y modificarlos, se debe esclarecer quiénes podrán acceder a la red a través de qué serie de permisos y con qué nivel de seguridad para evitar que ambos procesos se realicen por usuarios no autorizados.

Cursos de formación sobre protección de datos

En nuestra academia de formación www.apiformacion.es hemos elaborado un curso donde exponemos detalladamente tanto Ley Orgánica de Protección y de Datos como el Reglamento General de Protección de Datos de la Unión Europea.

Servicio de implantación y adaptación de datos en agencias inmobiliarias

www.inmopc.com ofrece a las agencias inmobiliarias un servicio de implantación y adaptación a la LOPD, que garantice su cumplimiento, actualización y procedimientos de trabajo para el adecuado control y gestión de los datos de carácter personal, si desea más información acceda ahora al Servicio de Implantación y Adaptación a LOPD.

 

 

 

Ignacio Morales.
Economista – ICADE

MÁS NOTICIAS DE INTERÉS

Protección de datos para pymes y autónomos, ¿Qué debemos saber?

MLS, el plazo se termina