Uso de la nube en la era de GDPR Ha sido salvado
Artículo
Uso de la nube en la era de GDPR
Nuevas exigencias en el almacenamiento de datos
Para muchas organizaciones el Reglamento General de Protección de Datos (GDPR según sus siglas en inglés) requiere un nuevo nivel de control. Al parecer almacenar los datos en la nube actualmente podría ser más complicado.
En sectores como sanidad y servicios financieros, los requisitos normativos en la nube han sido más demandados por las empresas. Hoy en día, cualquier organización con datos sobre los residentes de la Unión Europea se enfrenta a limitaciones similares gracias al Reglamento General de Protección de Datos (GDPR) de la UE, que entró en vigor en mayo 2018. La GDPR impone estrictas restricciones al tratamiento de los datos personales y puede tener un efecto significativo en los esfuerzos de muchas organizaciones que almacenan datos en la nube.
Diseñada para regular la privacidad y la protección de datos en toda Europa, la GDPR responsabiliza a las empresas que procesan datos personales ya sean clientes, empleados u otros. Independientemente de dónde se encuentren las propias empresas, ahora deben tratar los datos de las personas que residen en la UE con normas muy específicas. Aquellos que no lo hagan podrían enfrentarse a sanciones potenciales de hasta el 4 % de los ingresos mundiales o 20 millones de euros.
La GDPR regulará qué tipo de datos se almacenan, dónde, cómo se protegen, cómo se accede a ellos y cómo se utilizan. A medida que las empresas adopten el almacenamiento público en la nube y almacenen datos es fundamental que comprendan las consideraciones normativas y legales.
La responsabilidad se detiene aquí
Entre los retos a los que se enfrentan ahora las organizaciones está la necesidad de identificar, llevar un inventario y mantener un registro de todos los datos personales basados, que se recopilen y procesen en la Unión Europea. También deben incorporar controles de privacidad y protección de datos en cualquier sistema o proceso que implique dichos datos. Y cuando los residentes de la UE piden acceder a sus datos o hacer que se corrijan, borren o trasladen, las organizaciones deben estar dispuestas y ser capaces de cumplir dicha petición.
Estos requisitos exigen un nivel de control de datos mucho más allá de lo que la mayoría de las organizaciones han tenido tradicionalmente, incluso en sus propios centros de datos; cuando los datos residen en la nube, el desafío se vuelve aún más complejo.
Aunque el almacenamiento en la nube lleve los datos de una organización fuera del sitio, el cumplimiento de la GDPR sigue siendo responsabilidad de la organización propietaria, no del proveedor de nube. Al momento de visualizar la función de la nube, tendríamos que hacernos la idea de que es como un armario de almacenamiento: tú obtienes las llaves y eres responsable de lo que hay dentro, incluso si no está en tus instalaciones.
Lo que complica aún más las cosas es que los reguladores probablemente realizarán auditorías para asegurar el cumplimiento, y cuando los datos estén en la nube, puedan buscar acceso físico a los centros de datos involucrados.
Buena práctica
Tomará algún tiempo para que muchas de las reglas estén más claramente delineadas. Es probable que algunas empresas pueden evitar hacer negocios en Europa, al menos hasta que se calme la situación; otras pueden alejarse de la nube porque se sienten menos en control de su infraestructura. Te damos algunas recomendaciones para que puedas manejarte bien en el sector:
Toma el control. En primer lugar, es importante que las organizaciones hagan todo lo posible para mantener el control de su propio cumplimiento, asegurándose de que entienden la regulación y de que averiguan de manera proactiva cómo necesitan cambiar y cómo hacerlo de la manera más eficaz posible. De lo contrario, lo más probable es que los reguladores impulsen ese cambio a través de auditorías y sanciones, y es casi seguro que sus prioridades serán diferentes.
Pondera los costes. Para algunas organizaciones, el cumplimiento de GDPR puede ser más costoso cuando los datos están en la nube que cuando están en sus propios centros de datos debido a los pasos adicionales que pueden ser necesarios para el monitoreo y control. Es importante desglosar los costes de cada opción y entender cómo se comparan, para luego tomar decisiones de infraestructura desde allí.
Establecer roles clave. De la misma manera que las organizaciones de atención de la salud han creado nuevas funciones dentro de la organización para gestionar el cumplimiento de la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA según sus siglas en inglés), la GDPR exige algo similar.
Realizar auditorías internas. En lugar de esperar una auditoría oficial por parte de los reguladores, las principales organizaciones están comenzando a realizar auditorías internas de su propio cumplimiento. Los consultores de tu compañía pueden desempeñar un papel clave al realizar auditorías como si fueran auditorías reales, ayudando a las organizaciones a ver dónde se encuentran sus vulnerabilidades, ya sea internamente, en la nube pública o con otros socios comerciales.
Siempre atento. Es importante no permitir que la GDPR limite la innovación para seguir siendo competitivas, las empresas necesitan mantener su creatividad y seguir innovando.
No hay duda de que la GDPR ha lanzado una nueva era en la gestión y legislación de datos, y el almacenamiento en nube puede añadir otro nivel de complejidad al ya de por sí desalentador reto de cumplimiento. Sin embargo, con el enfoque correcto, los beneficios potenciales de la nube pueden hacer que valga la pena llevar a cabo esa consideración extra.
