CLOUD con el RGPD


En mayo de 2018 se empezará a exigir el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD) dejando sin efecto la actual Ley Organiza de Protección de Datos de Carácter Personal (LOPD) y publicándose antes de esa fecha de mayo de 2018 una nueva Ley Orgánica que desarrolle el RGPD. Y con este nuevo Reglamento Europeo se establecerán nuevas obligaciones en cuanto al Cloud, según el tipo de datos personales que se manejen y los tratamientos que se lleven a cabo con estos datos. Y deberán tenerse en cuenta desde el momento de implantar, ya sea de forma propia o por la prestación de un servicio/producto de un tercero, el procesamiento de información a través de Internet o en la nube.

Entre estas novedades que deben tenerse en cuanta a la hora de tratar los datos en Cloud con el RGPD están:

Protección desde el diseño y por defecto: Esta nueva obligación conlleva que a la hora de determinar que herramientas, recursos y medios se aportarán para el procesamiento de la información personal, éstos deberán ser los adecuados y previstos  para cumplir las obligaciones impuestas por el Reglamento Europeo. Pero no solo con la obligación de garantizar la seguridad de los datos personales, si no que este diseño de las infraestructuras y medios para proporcionar el Cloud deberán tener en cuenta también la forma del almacenamiento de la información para atender el derecho de acceso, el de rectificación y limitación al tratamiento, el derecho al olvido y sobre todo el nuevo derecho a la portabilidad de los datos. Por tanto no podrá utilizarse cualquier infraestructura o medios para proporcionar el Cloud, si no que éstos deberán tener previsto el cumplimiento de los requisitos del RGPD.

– Cumplimiento proactivo: También, en la decisión de que sistemas y/o herramientas se utilizan con el Cloud, se debe tener en cuenta el cumplimiento proactivo, una obligación novedosa en el reglamento. Ya que no solo se deberá cumplir con los principios y obligaciones del tratamiento de los datos personales, sino que se deberá disponer de todas las medidas técnicas y organizativas apropiadas para poder demostrar, en cualquier momento, que los tratamientos de datos son conformes con este Reglamento.

– Garantías del encargado del tratamiento: Este RGPD también influirá en la contratación del proveedor que vaya prestar estos servicios de Cloud, dado que en caso de manejar información personal, el Reglamento exige que el proveedor contratado ofrezca garantías suficientes en cuanto al cumplimiento del RGPD, es decir, que disponga y pueda demostrar, que cuenta con todos los medios necesarios para cumplir sus obligaciones como encargado en el manejo de los datos personales de su cliente. Para ello el responsable de los datos personales no solo deberá firmar el contrato con el proveedor del Cloud, donde se establezcan sus obligaciones en el manejo de los datos, si no que deberá establecer, en el proceso de selección del proveedor, mecanismos para poder determinar si éste cuenta con estas garantías suficientes para cumplir el Reglamento y la protección de los derechos de los interesados.

– Evaluaciones de impacto: Otra de la obligaciones novedosas del RGPD es la realización de evaluaciones de impacto para ciertos tratamientos de datas, como en la elaboración de perfiles o cuando se manejen a gran escala datos de categoría especial, que son los relativos al origen racial, religión, afiliación sindical, genéticos y de salud. Con estas evaluaciones de impacto se determinará que riesgos existirán para los derechos de la personas en el tratamiento de sus datos personales. Teniendo que conocer la empresa todas las operaciones realizadas con los datos, las herramientas utilizados y las medidas de seguridad implantadas para llevar a cabo esta evaluación, y si se cuenta con un proveedor externo que facilite alguna infraestructura o medios para el Cloud, también deberá éste participar en la evaluación de impacto.

– DPD: También con el nuevo Reglamento, se deberá nombra un Delegado de Protección de Datos (DPD) por todas las administraciones o entidades públicas, y por quien trate datos a gran escala y de categoría especial. Siendo la misión de estos DPD la de informar, asesorar, supervisar el cumplimiento del Reglamento y actuar como contacto con la Agencia Española de Protección de Datos. Por tanto, el DPD deberá conocer la infraestructura y medios utilizados para poder prestar este asesoramiento y supervisión del manejo de los datos. Pero en caso de contar con un proveedor de Cloud, deberá entonces contactar el DPD con este proveedor para poder asesorar y supervisar el cumplimiento del RGPD. Salvo que este proveedor encargado del tratamiento cuente con su propio DPD, por que entonces deberán coordinarse los DPDs para llevar a cabo este asesoramiento y supervisión.

– Seguridad según los riesgos: En cuanto a las medidas de seguridad a implantar sobre los datos, éstas deben ser acordes con el riesgo, pudiendo incluir la seudonimización y cifrado, para garantizar la confidencialidad, integridad, resilencia de los sistemas y servicios que tratan los datos, la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida. Por tanto la empresa o entidad que implante el procesamiento en la nube deberá evaluar que riesgos para los datos existirán e implantar las medidas acordes para garantizar la seguridad. Pero los riesgos para el responsable de los datos y la empresa que presta el Cloud pueden no ser iguales, dado que dependerán estos riesgos de los tratamientos de datos que se lleven a cabo cada uno de ellos. Por lo que convendrá acordar en el contrato con el proveedor cual serán estos riesgos y las medidas que deban implantarse.

– Violaciones de seguridad: También surge una nueva obligación con el RGPD en caso de producirse una violación de la seguridad en los datos, y exista un riesgo para los derechos y libertados de las personas. Y esta nueva obligación es la de notificar a la Agencia Española de Protección de Datos, esta violación de la seguridad en el plazo de 72 horas desde que se haya conocido. Teniendo el proveedor externo del Cloud que informar a su cliente, de la brecha de seguridad en los datos tratados en sus sistemas e infraestructuras. Con el fin de poder notificarse luego por el responsable de los datos esta violación de la seguridad a la Agencia Española de Protección de Datos. Para lo cual la empresa deberá establecer algún procedimiento que determine que violaciones de seguridad se notificarán, el mecanismo para notificarlas, y también, en su caso, la forma de comunicar el proveedor del Cloud a la empresa las brechas de seguridad, para luego notificarlas a la Agencia Española de Protección de Datos. O en su caso a los interesados, cuando los datos de éstos hayan sufrido un alto riesgo desde el punto de vista de sus derechos y libertades, teniendo entonces que incorporar en este procedimiento de notificación de violaciones de seguridad a la Agencia Española de Protección de Datos, el mecanismo para comunicarlo a los personas, tras determinar si se produjo un alto riesgo para los derechos y libertades.

Ante todas estas nuevas obligaciones impuestas por el RGPD, a la hora de implantar o revisar el Cloud, si ya esta implantado, se deberá tener en cuenta el cumplimiento de este nuevo reglamento europeo de protección de datos.