El RGPD es la próxima ley de protección de datos de la UE. Un reciente estudio nos indica que las empresas tienen previsto trasladar a la nube, en media, casi la mitad (46%) de su infraestructura a lo largo de los próximos seis meses.

Asumir la responsabilidad del RPGD es complicado

El RGPD es una normativa nueva que aún no ha sido ejecutada en la práctica, pero las consecuencias que puede suponer su incumplimiento son considerables, lo que ha desencadenado una reacción instintiva por parte de algunos compradores de servicios en la nube: externalizar el riesgo asociado a la protección de datos, descargando en el procesador de los datos toda la responsabilidad ante las posibles infracciones.

No ayuda externalizar la responsabilidad

Por muy tentador que resulte, externalizar completamente en el proveedor de TI el riesgo asociado al RGPD puede dar lugar a negociaciones largas y complejas. Según el RGPD, tanto el controlador de datos (generalmente la empresa) como el procesador de datos (a menudo el proveedor del servicio) están obligados a evaluar los riesgos inherentes al procesamiento de los datos personales.


Ambos tienen también la obligación de implementar medidas para mitigar los riesgos, como el cifrado. Dichas medidas deben garantizar un nivel adecuado de seguridad, lo que incluye la confidencialidad de toda aquella información que pueda servir para identificar a una persona. Asimismo, deben tener en cuenta el estado de la infraestructura técnica y calibrar los costes de implementación en relación con los riesgos y la naturaleza de los datos personales que deben protegerse.

¿Qué exige el RGPD?

EL RGPD exige que las organizaciones (los controladores de datos) solo utilicen procesadores de datos que sean capaces de garantizar formalmente el cumplimiento de los requisitos del RGPD y la protección de los derechos de las personas (los "interesados", en la terminología del RGPD).

Lo cierto es que gran parte del riesgo subyacente al RGPD radica en la forma en que las organizaciones utilizan la nube. Las organizaciones deben trabajar con proveedores de confianza que tengan establecidos e integrados en su operativa estrictos controles de seguridad y requisitos de privacidad.



Si bien las evaluaciones realizadas por terceros pueden servir de referencia, no son garantía absoluta de cumplimiento normativo. Los clientes deben considerar otros factores, como las acreditaciones de seguridad relevantes, el lugar donde se almacenan los datos, las relaciones con los organismos competentes del sector y los códigos de conducta.

Protección de datos en cloud

Dado que los proveedores de servicios cloud tienen la obligación legal de determinar las medidas técnicas y organizativas necesarias para proteger los datos de sus clientes, por ejemplo, la gestión de seguridad ISO 27001 y la gestión de servicios ISO 20000 en instalaciones y productos, los proveedores que llevan mucho tiempo custodiando los datos de sus clientes (como es el caso de Interoute) están mejor posicionados para comprender y abordar los desafíos técnicos y organizativos asociados a la protección de dichos datos, y pueden reaccionar con más eficacia ante cualquier violación de la normativa al respecto.

Las organizaciones no deben limitarse a buscar proveedores de servicios cloud que puedan acreditar el cumplimiento de estos estándares, sino también preguntar cuántos de los empleados del proveedor han obtenido esas mismas acreditaciones. Este aspecto, junto con la buena reputación y la pertenencia y participación activa en los organismos competentes dentro del sector, será la prueba más clara de que el proveedor se toma en serio el cumplimiento de la RGPD, tanto en la letra como en el espíritu de la ley.