RGPD impone una serie de pautas para ser cumplidas por cualquier proveedor de servicios en la Nube que almacene datos.
La norma no es una declaración de intenciones, ni un texto jurídico anexo a un determinado proveedor o servicio.
Hay ciertas obligaciones que debe cumplir el proveedor y que son fácilmente verificables para una empresa que quiera contratar un servicio que cumpla realmente RGPD.
1) Firma del contrato RGPD
El proveedor debe formalizar y firmar el contrato de tratamiento por parte de terceros que exige la ley.
El contrato de “Tratamiento por parte de terceros” es obligatorio. Este contrato ha de ser firmado por ambas partes.
Un contrato no es una casilla de verificación o aceptación en la que se hace click. El documento debe estar en posesión de ambas partes con firma legal, ya sea digital o manuscrita.
Cualquier empresa, organización o institución que contrate un servicio en la Nube debería tener guardado un contrato de este tipo.
Este contrato oficializa el uso de la plataforma y lo hace legal en RGPD. La propia empresa que contrata el servicio en la Nube, determina su propio cumplimiento RGPD con la posesión de estos contratos realizados con terceros.
En Dataprius firmamos los contratos en formato PDF y todos los clientes tienen su copia. Incluso publicamos las condiciones según ley del contrato a firmar, lo hacemos de forma pública en nuestra web: https://dataprius.com/proteccion-de-datos-contratos
2) Documento de Seguridad de la empresa proveedora
El proveedor debe disponer de un Documento de Seguridad dónde se describen las infraestructuras y medidas que adopta.
Este es el llamado Documento de Seguridad RGPD. En él, de manera genérica, el proveedor describe sus infraestructuras y metodología.
El proveedor está obligado a proporcionar información sobre la seguridad de su servicio, haciéndolo accesible o publicando este documento.
Es muy importante que incluya cómo se realiza el cifrado de las comunicaciones y de la información almacenada. Si existen archivos, estos deben guardarse de forma encriptada, es lo que se conoce como cifrado en reposo.
A este respecto Dataprius publica el documento en su web: https://dataprius.com/dataprius-descripcion-de-seguridad-del-sistema
3) Declaración del uso de infraestructuras y servicios de terceros
El proveedor debe declarar públicamente sus proveedores y la ubicación de los servidores de almacenamiento de datos. Debe disponer de una lista actualizada.
Los proveedores de la Nube utilizan servicios de otras empresas. Estos servicios pueden consistir en infraestructuras o software específico que realiza ciertas funcionalidades.
RGPD obliga a los proveedores a mantener esta lista actualizada de sus proveedores y hacerla pública. Se ha de ser totalmente transparente con los lugares de almacenamiento final de los datos y de los archivos. Cualquiera debería conocer con facilidad dónde terminarán sus datos almacenados o por qué lugares pasarán.
La lista de los proveedores Cloud de Dataprius se publica en su Web: https://dataprius.com/dataprius-proveedores
4) Cumplimiento RGPD. Mantenimiento de un registro de seguridad
El proveedor debe disponer de algún tipo de registro dónde se anoten las incidencias o cualquier información relevante para la seguridad del sistema.
Hay diversas formas de mantener un registro de este tipo. En cualquier caso debe ser un complemento a la trazabilidad de las acciones sobre los datos.
La trazabilidad consiste en registrar los accesos a la información y las operaciones realizadas teniendo en cuenta el personal que accede. Considerando el flujo de entradas y salidas de los documentos o datos.
Como no estamos hablando de soportes físicos y un sistema en la Nube es muy dinámico es necesario que el propio sistema registre la actividad. Esto se materializa normalmente en un registro de actividad o en historiales. Se anota quién accede a que, en que momento y las operaciones realizadas.
En el registro de seguridad al que obliga RGPD es obligatorio anotar las incidencias detectadas y las medidas adoptadas para la subsanación.
En Dataprius el Registro de Seguridad está integrado en la aplicación de escritorio y está disponible para su supervisión por parte de la empresa y de los usuarios que tienen el rol de Administradores.
Las entradas del registro de Dataprius pueden ser introducidas por los responsables del sistema o automáticamente ante ciertos cambios, por ejemplo: se registran los intentos de entrada con claves incorrectas, los cambios de credenciales, etc.
Me sorprende encontrar un proveedor de la nube que firme los contratos. Estuve con dropbox primero, luego office 365 y ahí no había nada, solo cajitas para darle OK y Aceptar términos y condiciones, pero nada firmado de verdad que tuviera validez legal.
Todo proveedor español/europeo debe cumplir RPGD. Y una de las condiciones es que se debe firmar y proporcionar un documento firmado legal y válido. Aquí más información: https://dataprius.com/rgpd-almacenamiento-cloud-europa-firma-de-contratos.html
O sea, que marcar una casilla no vale legalmente para cumplir rgpd. Tiene lógica, si luego el proveedor cambia cualquier letra ni te enteras. Luego aparte están los que mienten. Intenté preguntar a Dropbox si cumplían rgpd, y solo me hagan largas y nunca un simple Sí.
Lo del contrato RGPD para los servicios en la Nube es algo insólito. Realmente insólito. Imagina que vas a comprar una casa, pagas y te dan una página web dónde hacer click en una casilla. Entonces el contrato de compra lo guardan ellos, porque ellos son infalibles y no pasa nada. Ahora quieres tener copia y no puedes, porque ya la tienen ellos. ¿Como es posible esto? El contrato RGPD, es un contrato normal, no una entelequia de Dropbox, Google Drive o OneDrive, el que sea. Hay que tener copia firmada por ambas partes, todos los contratos son así. Por favor que cada uno piense que otras empresas no nos dan copias de los contratos ¡ninguna! Esto pasa con las Bigtech monopolios autócratas que escapan de las normas más simples.
Al menos el contrato da validez legal en caso de posibles problemas con la nube.
¿Que pasaría si cerráis? Y lo mismo con los otros servicios. Algo que siempre entra duda
Lo que pasaría con cualquier empresa que esté en Europa y cumpla RGPD. Si ocurriera ese hipotético caso, lo normal es avisar a todos los usuarios/clientes, dar un tiempo para que recuperen los archivos antes de cerrar.
que interesante este artículo gracias por transmitir