Madrid
El Reglamento de Protección de Datos, vigente desde el pasado 25 de mayo, impone a las empresas la obligación de elegir un 'proveedor serio'. Éstos deben seguir las instrucciones documentadas por el cliente, y tendrán que tomar medidas de seguridad.
Acens, especialista en servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha estimado lo que debe hacer un proveedor de servicios cloud en cumplimiento del Reglamento General de Protección de Datos. La normativa no concreta qué se entiende por proveedor serio, pero apunta las siguientes claves:
1. Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar.
2. Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR.
3. Garantizará que únicamente accede al CPD el personal autorizado. Medidas de seguridad física en Data Centers como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, CCTV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, etc.
4. En función de los servicios, implementará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad el reglamento menciona la seudonimización y el cifrado, para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema, capacidad de soportar datos y recuperarse ante incidentes.
5. Sí lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
6. Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.
7. Notificará al cliente las incidencias de seguridad cuanto antes. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados.
8. Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD, e informará si considera que recibe instrucciones que pueden infringir el RGPD.
9. Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones.
10. Suprimirá o devolverá los datos al finalizar el contrato.
