Obligaciones de tu proveedor Cloud para que cumplas con la protección de datos

A estas alturas, es difícil encontrar un negocio que no disponga de algún sistema de “nube” para operar en su día a día, tanto interna como externamente. Pero ¿estos espacios ofrecen todas las garantías necesarias para que su cliente cumpla con la normativa en protección de datos? Lo cierto es que este tipo de servicios se encuentran principalmente en Estados Unidos, donde la protección de datos no tiene la importancia que ha cobrado en estos últimos años en Europa. Al principio, la mayoría de estas empresas no cumplían con la norma, pero lo cierto es que se adaptaron a una velocidad considerable. Con esto no queremos decir que cumplan al cien por cien, o que alguna de ellas esté a años luz de cumplir, pero las principales sí.

¿Cuáles son las exigencias como cliente que debemos hacer sobre este tipo de proveedores? Diligencia y transparencia en la información , es decir:

1.Deberá de poner en conocimiento del contratante si subcontrata a otro proveedor algún tipo de servicio relacionado con la tenencia de datos de sus clientes y transmitirle alas obligaciones correspondientes.

2.Formalizar un firme compromiso de confidencialidad con el personal de administración per, ante todo, con el personal de sistemas y proceder a su formación.

3.Garantizar que solo accede a la información el personal autorizado

4.Implementación de medidas de seguridad específicas como la seudonimización y el cifrado, realización de copias de seguridad y acceso a datos de forma rápida en caso de incidente físico o técnico.

5.Realización de tareas de verificación, evaluación y valoración de medidas de seguridad, garantizando la rápida actuación en caso de brecha de seguridad.

6.Notificación a clientes de incidencias de seguridad cuanto antes.

7.Asistencia y ayuda al cliente en el cumplimiento del RGPD e informará si considera que recibe instrucciones que pueden infringir la normativa.

8.Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones.

9.Suprimir o devolver los datos a la finalización del contrato o su rescisión.

10.La portabilidad, es decir, la posibilidad efectiva de que los datos personales puedan ser devueltos al cliente o que éste pueda indicar que se transfieran a un nuevo proveedor de servicios que haya seleccionado, en el momento en que finalice la prestación del mismo, es una garantía que ha de tenerse especialmente en cuenta, independientemente del derecho a la portabilidad que reconoce el RGPD a las personas físicas. Por ello, el contrato debe incluir soluciones específicas para garantizar esa portabilidad, adaptadas a las distintas modalidades de cloud y al tipo de servicios que se ofrezcan. Las garantías sobre la portabilidad en materia de protección de datos personales son independientes de las que se deriven del término de la prestación de servicios conforme al derecho privado, si bien las condiciones contractuales en este ámbito no deberán imposibilitar aquella.

¿Y si hay transferencias internacionales de datos?

La prestación de servicios de cloud computing implicará, en numerosas ocasiones, flujos transfronterizos de datos a terceros países que implican una transferencia internacional de datos. No tienen esta consideración los flujos de datos que se producen dentro del marco del Espacio Común Europeo (los Estados de la Unión Europea más Islandia, Noruega y Liechtenstein). Cuando se produzcan transferencias internacionales de datos deben realizarse con garantías adecuadas. Especialmente importante, dadas las características propias de los servicios de cloud computing , es establecer mecanismos para permitir que las subcontrataciones que se realicen en este contexto de transferencias internacionales se gestionen con fluidez, asegurando al mismo tiempo que el cliente responsable tiene información suficiente sobre los subcontratistas, o potenciales subcontratistas, y mantiene la capacidad de tomar decisiones.