RGPD impone una serie de pautas para ser cumplidas por cualquier servicio en la Nube que almacene datos personales.
Hablamos de cumplimiento Real
Cuando el público en general afirma que algunas plataformas USA cumplen RGPD, están absolutamente equivocadas.
Aparte de una declaración de cumplimiento, que eso si lo hacen por marketing, hay una serie de requisitos obligatorios que exponemos en este artículo y que algunas plataformas ignoran sistemáticamente.
Por ejemplo, ni Dropbox ni Google Drive cumplen estos requisitos. Consulte usted con un experto en RGPD y protección de datos. Nosotros lo hemos hecho ya con un centenar de ellos. Le confirmarán que estos aspectos de la norma no son cumplidos por esas plataformas.
4 requisitos fundamentales para el cumplimiento
Exponemos cuatro condiciones que exige la norma aunque habría varias más.
Tras la lectura de este texto, incluso usted mismo podrá comprobar que estas disposiciones de la norma no son cumplidas por esos servicios. También podrá descubrir como otros sistemas, bastante usados en el terreno empresarial, tampoco cumplen y que en la práctica vulneran la norma.
Porque el cumplimiento no consiste en una declaración de intenciones, ni un texto jurídico anexo a un determinado proveedor o servicio. Hay apartados muy claros y concisos.
Exponemos 4 obligaciones que debe cumplir el proveedor y que son fácilmente verificables para una empresa que quiera contratar un servicio que cumpla realmente RGPD.
- Firma del contrato RGPD.
- Documento de Seguridad de la empresa proveedora del servicio.
- Declaración del uso de infraestructuras, servicios de terceros, lugares almacenamiento.
- Mantenimiento de un registro de seguridad.
1) Firma del contrato RGPD.
El proveedor del servicio en Cloud debe formalizar y firmar el contrato de tratamiento por parte de terceros que exige la ley.
Compruebe cumplimiento real RGPD de su servicio de almacenamiento en la Nube:
¿Tiene el contrato de tratatamiento por parte de terceros? ¿Tiene una copia en formato de documento PDF o similar? Si no lo tiene o no se lo facilitan ese servicio no cumple.
El contrato de «Tratamiento por parte de terceros» es obligatorio. Este contrato ha de ser firmado por ambas partes.
Un contrato no es una casilla de verificación o aceptación en la que se hace click. El documento debe estar en posesión de ambas partes con firma legal, ya sea digital o manuscrita.
Cualquier empresa, organización o institución que contrate un servicio en la Nube debería tener guardado un contrato de este tipo.
Este contrato oficializa el uso de la plataforma y lo hace legal en RGPD. La propia empresa que contrata el servicio en la Nube, determina su propio cumplimiento RGPD con la posesión de estos contratos realizados con terceros.
En Dataprius firmamos los contratos en formato PDF y todos los clientes tienen su copia. Incluso publicamos las condiciones según ley del contrato a firmar, lo hacemos de forma pública en nuestra web: https://dataprius.com/proteccion-de-datos-contratos
2) Documento de Seguridad de la empresa proveedora del servicio.
El servicio debe disponer de un Documento de Seguridad dónde se describen las infraestructuras y medidas que adopta.
Compruebe cumplimiento real RGPD de su servicio de almacenamiento en la Nube:
¿Le han facilitado el documento de seguridad? ¿Tiene un PDF o una dirección web dónde echar un vistazo? Los servicios cloud deben proporcionarlo.
Este es el llamado Documento de Seguridad RGPD. En él, de manera genérica, el proveedor describe sus infraestructuras y metodología.
El proveedor está obligado a proporcionar información sobre la seguridad de su servicio, haciéndolo accesible o publicando este documento.
Es muy importante que incluya cómo se realiza el cifrado de las comunicaciones y de la información almacenada. Si existen archivos, estos deben guardarse de forma encriptada, es lo que se conoce como cifrado en reposo.
A este respecto Dataprius publica el documento en su web: https://dataprius.com/dataprius-descripcion-de-seguridad-del-sistema
3) Declaración del uso de servicios de terceros y lugares de almacenamiento.
El proveedor debe declarar públicamente sus proveedores y la ubicación de los servidores de almacenamiento de datos. Debe disponer de una lista actualizada.
Compruebe cumplimiento real RGPD de su servicio de almacenamiento en la Nube:
¿Le han facilitado los lugares de almacenamiento de datos y archivos? ¿Sabe en que zona geográfica están? Si están fuera de la zona de la Unión Europea hay que tener mucho cuidado y puede que no cumplan con el RGPD.
Los proveedores de la Nube utilizan servicios de otras empresas. Estos servicios pueden consistir en infraestructuras o software específico que realiza ciertas funcionalidades.
RGPD obliga a los proveedores a mantener esta lista actualizada de sus proveedores y hacerla pública. Se ha de ser totalmente transparente con los lugares de almacenamiento final de los datos y de los archivos. Cualquiera debería conocer con facilidad dónde terminarán sus datos almacenados o por qué lugares pasarán.
La lista de los proveedores Cloud de Dataprius se publica en su Web: https://dataprius.com/dataprius-proveedores
4) Cumplimiento RGPD. Mantenimiento de un registro de seguridad.
El proveedor debe disponer de algún tipo de registro dónde se anoten las incidencias o cualquier información relevante para la seguridad del sistema.
Compruebe cumplimiento real RGPD de su servicio de almacenamiento en la Nube:
¿Tiene el sistema un registro de seguridad? ¿Puede acceder? ¿Puede solicitarlo? Si no lo tienen, no pueden informar sobre incidencias al encargado de tratatamiento.
Hay diversas formas de mantener un registro de este tipo. En cualquier caso debe ser un complemento a la trazabilidad de las acciones sobre los datos.
La trazabilidad consiste en registrar los accesos a la información y las operaciones realizadas teniendo en cuenta el personal que accede. Considerando el flujo de entradas y salidas de los documentos o datos.
Como no estamos hablando de soportes físicos y un sistema en la Nube es muy dinámico es necesario que el propio sistema registre la actividad. Esto se materializa normalmente en un registro de actividad o en historiales. Se anota quién accede a que, en que momento y las operaciones realizadas.
En el registro de seguridad al que obliga RGPD debe anotar las incidencias detectadas. La empresa deberá informar de las medidas adoptadas para la subsanación.
En Dataprius el Registro de Seguridad está integrado en la aplicación de escritorio y está disponible para su supervisión por parte de la empresa y de los usuarios que tienen el rol de Administradores.
Las entradas del registro de Dataprius pueden ser introducidas por los responsables del sistema o automáticamente ante ciertos cambios, por ejemplo: se registran los intentos de entrada con claves incorrectas, los cambios de credenciales, etc.
[Esta es una revisión de un artículo del 2022 de este mismo Blog]
Dataprius es un sistema de archivos en Cloud para empresas que cumple 100% RGPD.
Me sorprende encontrar un proveedor de la nube que firme los contratos. Estuve con dropbox primero, luego office 365 y ahí no había nada, solo cajitas para darle OK y Aceptar términos y condiciones, pero nada firmado de verdad que tuviera validez legal.
Todo proveedor español/europeo debe cumplir RPGD. Y una de las condiciones es que se debe firmar y proporcionar un documento firmado legal y válido. Aquí más información: https://dataprius.com/rgpd-almacenamiento-cloud-europa-firma-de-contratos.html
O sea, que marcar una casilla no vale legalmente para cumplir rgpd. Tiene lógica, si luego el proveedor cambia cualquier letra ni te enteras. Luego aparte están los que mienten. Intenté preguntar a Dropbox si cumplían rgpd, y solo me hagan largas y nunca un simple Sí.
Lo del contrato RGPD para los servicios en la Nube es algo insólito. Realmente insólito. Imagina que vas a comprar una casa, pagas y te dan una página web dónde hacer click en una casilla. Entonces el contrato de compra lo guardan ellos, porque ellos son infalibles y no pasa nada. Ahora quieres tener copia y no puedes, porque ya la tienen ellos. ¿Como es posible esto? El contrato RGPD, es un contrato normal, no una entelequia de Dropbox, Google Drive o OneDrive, el que sea. Hay que tener copia firmada por ambas partes, todos los contratos son así. Por favor que cada uno piense que otras empresas no nos dan copias de los contratos ¡ninguna! Esto pasa con las Bigtech monopolios autócratas que escapan de las normas más simples.
Al menos el contrato da validez legal en caso de posibles problemas con la nube.
¿Que pasaría si cerráis? Y lo mismo con los otros servicios. Algo que siempre entra duda
Lo que pasaría con cualquier empresa que esté en Europa y cumpla RGPD. Si ocurriera ese hipotético caso, lo normal es avisar a todos los usuarios/clientes, dar un tiempo para que recuperen los archivos antes de cerrar.
que interesante este artículo gracias por transmitir