Ecoley

¿Qué debe hacer el proveedor ante el Reglamento europeo de Protección de datos?

Foto: Archivo
Madrid

El Reglamento de Protección de Datos, vigente desde el pasado 25 de mayo, impone a las empresas la obligación de elegir un 'proveedor serio'. Éstos deben seguir las instrucciones documentadas por el cliente, y tendrán que tomar medidas de seguridad.

Acens, especialista en servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha estimado lo que debe hacer un proveedor de servicios cloud en cumplimiento del Reglamento General de Protección de Datos. La normativa no concreta qué se entiende por proveedor serio, pero apunta las siguientes claves:

1. Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar.

2. Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR.

3. Garantizará que únicamente accede al CPD el personal autorizado. Medidas de seguridad física en Data Centers como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, CCTV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, etc.

4. En función de los servicios, implementará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad el reglamento menciona la seudonimización y el cifrado, para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema, capacidad de soportar datos y recuperarse ante incidentes.

5. Sí lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

6. Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.

7. Notificará al cliente las incidencias de seguridad cuanto antes. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados.

8. Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD, e informará si considera que recibe instrucciones que pueden infringir el RGPD.

9. Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones.

10. Suprimirá o devolverá los datos al finalizar el contrato.

WhatsAppWhatsApp
FacebookFacebook
TwitterTwitter
Google+Google plus
Linkedinlinkedin
emailemail
imprimirprint
comentariosforum
Publicidad
Otras noticias
Contenido patrocinado
forum Comentarios 0
Deja tu comentario
elEconomista no se hace responsable de las opiniones expresadas en los comentarios y los mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.