Añadir nuevo comentario

La importancia del RGPD: retos y futuro de gestión de datos en las empresas

RGPD


RGPD

Desde el pasado 25 de mayo hemos entrado en el periodo de cumplimiento explícito del reglamento europeo sobre la protección de datos, llamado RGPD, (o GDPR en inglés). Esta nueva reglamentación pretende armonizar las legislaciones de los distintos países miembros de la Unión Europea y reforzar la protección de datos de sus ciudadanos en cuanto a la multiplicación de los intercambios internacionales, del uso creciente de las redes sociales y de las plataformas, así como de la mercantilización de los datos, considerados como el nuevo «oro negro».

El RGPD se basa en una lógica de responsabilización de las empresas, con la obligación de establecer medidas apropiadas de protección de datos para evitar riesgos, así como requiere la obligación de demostrar dicho cumplimento. Aplicación sistemática de los principios de Privacy by design y de Privacy by default, realización de análisis de impacto de la vida privada, llevar un registro de las actividades de tratamientos, notificación de las violaciones de datos... Son algunos de los nuevos requisitos que ponen de manifiesto la necesidad de instaurar desde ahora un programa de cumplimiento con dicho reglamento.

Cumplimiento

Sin embargo, si algunas empresas ya han iniciado este proceso, otras aún no lo han hecho, ya sea porque conocen poco este texto o porque no han comprendido los términos y los desafíos, o bien porque están convencidas de estar ya cumpliéndolo, ya que siguen la reglamentación española vigente. Si bien, el RGPD representa una evolución muy importante con respecto a la directiva europea del 24 de octubre de 1995, también es necesaria una buena preparación para que su cumplimiento se lleve a cabo lo mejor posible.

Además del establecimiento de medidas técnicas y de organización a nivel interno, las empresas van a tener que plantearse la cuestión del cumplimiento de los servicios prestados por sus proveedores. Deben también preguntarse sobre el proceso de almacenamiento y tratamiento de los datos por los proveedores de infraestructuras de Cloud computing, y en especial sobre la cuestión de la localización de los datos y de su transferencia.

Transferencia de datos y código de conducta

Con el RGPD, las transferencias de datos fuera de la UE, incluido todo lo que respecta al alojamiento, se pueden hacer a condición de que estén delimitadas, por ejemplo por una decisión de adecuación de un país tercero, la firma de cláusulas contractuales tipificadas o incluso la adhesión a un código de conducta aprobada.

En este contexto, en octubre de 2016, varios proveedores de soluciones laaS en Europa, entre ellos Ikoula, se han agrupado en una asociación, el CISPE (Cloud Infrastructure Services Providers in Europe), y han lanzado el primer código de conducta relativo a la protección de datos. También se han comprometido a ofrecer a sus clientes la posibilidad de tratar y de almacenar sus datos exclusivamente en Europa. Este código ya en vigor desde hace varios meses pretende defender las buenas prácticas en este campo y, haciendo esto, cumple con el RGPD además de completarlo con recomendaciones propias en la industria específica del alojamiento informático. Ikoula, que siempre ha defendido buenas prácticas en el almacenamiento y la protección de datos desde hace casi 20 años ya, es un miembro declarado que cumple con este código de conducta.

direction_RGPD


La importancia del lugar en el que se almacenan los datos personales...

Dicho esto, en el momento en el que el sector digital está dominado por los gigantes americanos, confiar el alojamiento de sus datos a un proveedor que cumple y además cuyos Datacenter y equipos se sitúan en territorio nacional, es la mejor garantía para las empresas francesas de una verdadera protección de sus datos.

Desde junio de 2013 y la revelación por Edward Snowden de la existencia del programa de vigilancia americano PRISM, la actualidad está muy nutrida en materia de almacenamiento de datos de los ciudadanos europeos por proveedores laaS americanos. El Tribunal Supremo de Estados Unidos tiene actualmente en su mesa el expediente judicial que enfrenta a Microsoft frente a los servicios de información americanos, relativos a los datos personales almacenados en Irlanda... El Parlamento americano acaba de prorrogar por cinco años la ley FISAA (« Foreign Intelligence Surveillance Act ») que autoriza la vigilancia de los datos de los ciudadanos no americanos por los servicios de información de EE. UU... En cuanto al acuerdo Privacy Shield firmado en 2016 entre la Comisión europea y Estados Unidos para «proteger» las transferencias de datos personales, es objeto de muchas críticas, incluyendo autoridades europeas de protección de datos, y de hecho se han sometido a dos recursos judiciales... No cabe duda, alojar sus datos en un proveedor de servicios de infraestructuras Cloud en «El Tío Sam» puede crear para las empresas españolas tanto riesgos en términos de protección y de seguridad de datos como una inseguridad jurídica.
Recurrir a un proveedor de servicios instalado en otro país no miembro de la UE, o instalado en España, pero cuyo centro de soporte o el centro de supervisión esté localizado en uno de esto países, puede también plantear problemas. Por ejemplo, Canadá o Nueva Zelanda ha sido bien reconocidos por la Comisión europea como países que ofrecen un nivel de protección adecuado de los datos, pero pertenecen al grupos de los «Five Eyes», cinco países interrelacionados por un tratado que prevé la cooperación entre los distintos servicios de información en cuanto a la recopilación de datos de telecomunicaciones y digitales.

Asimismo, antes de elegir un proveedor de servicios laaS, cualquier empresa que desee albergar sus datos debería preguntarse dónde se almacenan y plantearse un cierto número de preguntas.

...y otros servicios propuestos por el proveedor

¿El centro de soporte cliente tiene su sede en Europa? ¿Los datos que recopila y tramita en el marco de sus actividades no corren peligro en cualquier momento de ser transferidos fuera de la UE, especialmente en el marco de subcontratación de segundo rango decidida por un proveedor de servicios no europeo? ¿El centro de supervisión se localiza en Europa y sus equipos están todos instalados en nuestro continente? ¿El uso de sistemas privados para la gestión de las infraestructuras no puede dar lugar a transferencias de datos fuera de la UE? Asimismo, ¿el uso del Código Abierto para gestionar las infraestructuras no permite controlar los intercambios entre las infraestructuras y los centros de supervisión de los desarrolladores?

La localización en Francia de los Centros de procesamiento de datos, de los que Ikoula es propietario, garantiza a los clientes la confidencialidad y la seguridad de sus datos, así como la sencillez, y las empresas pueden incluso constatar mediante visitas in situ en qué condiciones verdaderas se almacenarán sus datos. La localización en Francia de los equipos de soporte de clientes y centros de supervisión de las infraestructuras permite también una mejor protección de los datos. Asimismo, el uso del Código Abierto para gestionar las infraestructuras permite controlar los intercambios entre estas infraestructuras y los centros de supervisión de los desarrolladores.

Centro de procesamiento de datos y equipos en Francia, Código Abierto, y tantas otros opciones ofertadas por la empresa Ikoula, iniciador del «Cloud Galo», para aproximarse lo máximo a los requisitos del nuevo reglamento europeo garantizando una innovación, una sencillez y una satisfacción del cliente siempre en el centro de sus soluciones.