Impacto del RGPD en los proveedores de servicios en la nube

La computación en la nube es una parte integral de la mayoría de las empresas a nivel mundial. La tecnología ha transformado la forma en que las empresas operan y prosperan en la industria. Sin embargo, la industria de la nube se ha enfrentado a grandes desafíos cuando se trata de cumplir con varios estándares de protección y privacidad de datos. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), muchas cosas han cambiado para la mayoría de las empresas. La aplicación de GDPR ha tenido implicaciones significativas en los proveedores de servicios en la nube y sus negocios, incluida la implementación de operaciones y mecanismos de control de seguridad.

Los proveedores de servicios en la nube ahora deben comprender sus obligaciones con respecto a la protección de datos y la privacidad para adaptar y modificar sus servicios, contratos y procesos en consecuencia. Con la aplicación de reglas estrictas bajo GDPR, está claro que los proveedores de servicios en la nube actúan en calidad de controladores y procesadores y no pueden eludir su responsabilidad con respecto a la protección de datos. Esta idea es digna de una elaboración más profunda.

¿Cómo impacta el RGPD en la industria de la nube?

Casi cinco años después de la promulgación de la regulación, las empresas todavía luchan por cumplir con los estándares regulatorios de GDPR. Además, para las empresas que adoptan rápidamente los servicios en la nube, se ha vuelto obligatorio tanto para las empresas como para los proveedores de servicios en la nube ajustar sus modelos comerciales. Están obligados a realizar cambios significativos en sus operaciones comerciales de acuerdo con las reglamentaciones. En virtud del Capítulo 4, Artículo 24-43, el RGPD establece claramente las reglas que deben seguir los Controladores y Procesadores de datos. El reglamento destaca las responsabilidades, los requisitos y las reglas que deben implementarse cuando se trata de datos personales. Para comprender mejor las implicaciones del RGPD en los controladores y procesadores de datos aplicados a los proveedores de servicios en la nube, echemos un vistazo más de cerca a los requisitos que se describen en esa sección.

Requisitos del RGPD para proveedores de servicios en la nube

Un proveedor de servicios en la nube se considera «dentro del alcance» si almacena o procesa datos de ciudadanos de la Unión Europea (UE) en nombre del controlador de datos. Según los medios y el propósito del procesamiento de datos, un controlador de datos y su proveedor de servicios en la nube se convierten en controladores de datos conjuntos, lo que exige deberes y responsabilidades adicionales importantes para el procesador de datos. Sin embargo, el proveedor de servicios en la nube debe aclarar su función en función de las reglas establecidas por GDPR para implementar los controles y requisitos necesarios para el cumplimiento.

Determinar el rol es fundamental. Facilita la identificación de los requisitos del RGPD aplicables. Por lo tanto, determinar las funciones y responsabilidades constituye el primer paso para desarrollar una política de protección de datos adecuada. Se espera que los proveedores de servicios en la nube tomen medidas proactivas para desarrollar una estrategia de protección de datos para la implementación y gestión de los requisitos necesarios del RGPD.

requerimientos generales

Parafraseando el lenguaje de la regulación, a continuación se incluye una lista de verificación de los requisitos que se aplicarían a los proveedores de servicios en la nube.

• Desarrollar principios sobre las actividades de tratamiento de datos personales.
• Establecer el proceso para el procesamiento de datos y hacer cumplir los derechos de los interesados, incluido el derecho a obtener información, el derecho a acceder a su información, el derecho a retirar su consentimiento, el derecho a modificar su información, así como el derecho a oponerse a las actividades de procesamiento por el proveedor de servicios en la nube.
• Establecer requisitos de privacidad desde el diseño para quienes participan en actividades de procesamiento y control de datos.
• Desarrollar y establecer controles sobre la propiedad de los datos y los derechos de portabilidad de los datos.
• Implementar medidas de seguridad que garanticen la privacidad de los datos.
• Establecer principios en cuanto al tratamiento de datos personales a terceros internacionales y terceros países.
• Desarrollar políticas y procedimientos relativos a la gestión de incumplimientos e incidentes.
• Desarrollar políticas relativas al establecimiento de acuerdos contractuales, plazos de conservación de datos y demás requisitos aplicables.

El siguiente cuadro ofrece un resumen de los requisitos que se aplican a los proveedores de servicios en la nube para proteger los datos y garantizar el cumplimiento. (Nuevamente, estos están parafraseados para eliminar parte de la sequedad del lenguaje regulatorio).

Requisitos de control de seguridad	Requisitos contractuales	Requisitos de documentación
		Controladores de datos	Procesadores de datos
Los proveedores de servicios en la nube están obligados a proporcionar garantías suficientes de que se aplican las medidas técnicas y organizativas adecuadas para garantizar el cumplimiento del RGPD. Tanto el controlador como el procesador deben implementar las medidas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que puede incluir:	Hay ciertas obligaciones para los proveedores de servicios en la nube que se establecen en el contrato de servicio comercial. GDPR requiere disposiciones contractuales obligatorias para incluir-	Cada controlador, cuando corresponda, debe mantener un registro de las actividades de procesamiento y un registro que contenga la siguiente información:	Cada procesador, cuando corresponda, mantendrá un registro de todas las categorías de actividades de procesamiento realizadas en nombre de un controlador, que contenga la siguiente información:
1.Seudonimización y encriptación de Datos Personales	1. El proveedor de servicios en la nube o cualquier subprocesador solo puede procesar los datos según las instrucciones del controlador de datos.	1. Nombre y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable del tratamiento, del representante del responsable del tratamiento y del delegado de protección de datos	1. Nombre y datos de contacto del encargado o encargados y del Delegado de Protección de Datos;
2. Asegurar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento	2. Una garantía por parte de los proveedores de servicios en la nube sobre las medidas de seguridad y cómo se cumplirán los requisitos del artículo 32 del RGPD.	2. Finalidades del tratamiento	2. Categorías de actividades de procesamiento realizadas
3. Restaurar la disponibilidad y el acceso a los Datos Personales con prontitud en caso de un incidente físico o técnico	3. Enumeración de los subprocesadores que son contratados por el procesador y detalles sobre cómo se tratan las actualizaciones de estos con el controlador	3. Descripción de las categorías de Interesados ​​y de las categorías de Datos Personales	3. Transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de ese tercer país u organización internacional y la documentación de garantías adecuadas como se establece en el artículo 49 (1)
4. Establecer un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.	4. Información necesaria para demostrar el cumplimiento del proveedor de la nube con el artículo 28 del RGPD y cómo el procesador permitirá o contribuirá a las auditorías o inspecciones del controlador de datos.	4. Categorías de destinatarios a quienes se han divulgado o se divulgarán los Datos personales, incluidos destinatarios en terceros países u organizaciones internacionales.	4. Descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1
5. La adhesión a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.	5. Las medidas que se prevén para garantizar la seguridad de los Datos Personales que se tratan fuera del Espacio Económico Europeo	5. Transferencias de Datos Personales a un tercer país o una organización internacional, incluida la identificación de ese tercer país u organización internacional y la documentación de garantías adecuadas como se establece en el artículo 49(1).
6. El controlador de datos y el procesador de datos deben asegurarse de que cualquier persona que actúe bajo su autoridad o que tenga acceso a los datos personales no los procese, excepto por instrucciones del controlador, a menos que así lo exija la legislación de la Unión o de los Estados miembros.	6. La responsabilidad repartida entre el responsable y el encargado del tratamiento en caso de infracción del RGPD o violación de datos personales, y cómo deben notificarse dichos hechos al responsable del tratamiento.	6. Siempre que sea posible, se prevén plazos para la supresión de las diferentes categorías de datos.
	7. Cómo el procesador está cumpliendo con sus obligaciones para respaldar los derechos de los interesados.	7. Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1.
	8. El tema, el alcance, la naturaleza, el contexto, el propósito y la duración del procesamiento y cómo se tratan los tipos y categorías de datos personales al comienzo, la transferencia, el procesamiento de rutina y el «final de la vida», incluida la devolución o eliminación.

Código de conducta del RGPD para proveedores de servicios en la nube

El RGPD exige que los proveedores y procesadores de servicios en la nube demuestren el cumplimiento de los requisitos del RGPD mediante la adopción de códigos de conducta aprobados o la participación en programas de certificación o sello aprobados por las autoridades supervisoras. Esto ayuda a demostrar el cumplimiento de la regulación, brindando garantías y garantías de salvaguardias de transferencia transfronteriza. El artículo 40 del RGPD fomenta el desarrollo de códigos de conducta que contribuyan a la correcta aplicación del Reglamento RGPD. El reglamento especifica claramente la inclusión de determinados aspectos relativos a la aplicación de los requisitos del RGPD en el código de conducta redactado. Esto debe incluir lo siguiente:

• Procesamiento justo y transparente;
• Intereses legítimos perseguidos por los controladores en contextos específicos;
• Recopilación de datos personales;
• Seudonimización de datos personales;
• Información proporcionada al público ya los interesados;
• Ejercicio de los derechos de los interesados;
• La información proporcionada y la protección de los niños, así como la forma en que se obtendrá el consentimiento de los titulares de la patria potestad de los niños;
• Medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32;
• Notificación de infracciones de datos personales a las autoridades de control y comunicación de dichas infracciones de datos personales a los interesados;
• Transferencia de datos personales a terceros países u organizaciones internacionales; y
• Procedimientos extrajudiciales y otros procedimientos de resolución de disputas para resolver disputas entre los controladores y los interesados ​​en relación con el procesamiento, todo ello conservando todos los privilegios otorgados a los derechos de los interesados ​​en virtud de los artículos 77 y 79.

Conclusión

Con la aplicación de la regulación, está claro que ninguna empresa puede eludir la responsabilidad del procesamiento seguro de datos. Independientemente de que se subcontrate a un tercero o se haga internamente, toda entidad que esté involucrada directa o indirectamente en el procesamiento de datos o que tenga acceso a datos personales de un ciudadano de la UE deberá cumplir con la regulación. La negligencia o el desconocimiento de estas reglas puede costarles a las empresas, especialmente a los Controladores de datos y Procesadores de datos, una gran sanción. Los proveedores de servicios en la nube deben comprender sus respectivas funciones y obligaciones en virtud del RGPD y recordar que el cumplimiento y los riesgos asociados de incumplimiento son un motivo de preocupación que debe priorizarse.

Sobre el Autor: Narendra Sahoo (PCI QSA, PCI QPA, CISSP, CISA y CRISC) es el fundador y director de Seguridad de información de VISTA, una firma global de consultoría de seguridad de la información, con sede en EE. UU., Singapur e India. El Sr. Sahoo tiene más de 25 años de experiencia en la industria de TI, con experiencia en servicios de consultoría, evaluación y cumplimiento de riesgos de la información. VISTA InfoSec se especializa en servicios de auditoría, consultoría y certificación de seguridad de la información que incluyen GDPR, HIPAA, CCPA, NESA, MAS-TRM, cumplimiento de PCI DSS, así como auditoría, PCI PIN, SOC2, PDPA y PDPB. Desde 2004, la empresa ha trabajado con organizaciones de todo el mundo para abordar los desafíos regulatorios y de seguridad de la información en su industria. VISTA InfoSec ha sido fundamental para ayudar a las principales empresas multinacionales a lograr el cumplimiento y proteger su infraestructura de TI.