Conoce Atico34 - Solicita presupuesto
Cloud ComputingLOPDGDD & RGPD

Protección de Datos en la Nube para empresas

El uso de la nube o de servicios de cloud computing por parte de las empresas, puede implicar en muchos casos el uso de datos personales en la nube, ya sea para su almacenamiento o para su gestión. Por lo tanto, se produce un tratamiento de datos que necesariamente implica cumplir con las obligaciones de la normativa de protección de datos. En este artículo hablaremos de la protección de datos en la nube y lo que significa para las empresas.

¿Qué es la protección de datos en la nube?

Cuando hablamos de protección de datos en la nube debemos distinguir entre la protección de datos como servicio (DPaaS), que funciona a través de la nube (si bien no significa que sea un servicio de protección de datos en el sentido de cumplir con la ley), y cuando una empresa contrata un servicio en la nube, del que se deriva un tratamiento de datos personales (como puede ser por ejemplo, almacenar y gestionar bases de datos de clientes y empleados).

En este artículo, vamos a hablar del segundo caso, es decir, de la protección de datos personales en la nube para empresas que contratan servicios que implican el uso de la nube.

tarifas proteccion datos

¿Qué riesgos existen en la nube?

A la hora de contratar un servicio que se gestione a través de la nube, las empresas deben ser conscientes de los riesgos que esto implica para la protección de datos en internet, si bien es cierto que gran parte de las medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos deberá aplicarlas el proveedor del servicio.

Entre los riesgos que existen en el uso de la nube, destacamos:

  • Accesos no autorizados por parte de terceros.
  • Ataques que interrumpan el servicio (como ataques DDoS).
  • Pérdida o filtración de información.
  • Explotación de vulnerabilidades.
  • Uso indebido de la información almacenada en la nube.

¿Deben las empresas proteger los datos que almacenan en la nube?

Sí, tanto la empresa que contrata un servicio de cloud computing como la empresa proveedora de dicho servicio deben proteger los datos personales que almacenan en la nube, puesto que estamos ante un tratamiento de datos y es necesario cumplir con la normativa de protección de datos.

Aunque, como hemos dicho, la responsabilidad de aplicar y poner en práctica medidas de seguridad adecuada para garantizar la protección de datos en la nube recae sobre la empresa proveedora, la responsabilidad de cumplir con las obligaciones en protección de datos lo hace sobre la empresa que ha contratado el servicio, puesto que es la responsable del tratamiento y quien debe garantizar siempre que los datos personales de que trata están seguros.

protección de datos en la nube

Obligaciones de protección de datos en la nube para empresas

Para cumplir con las leyes que protegen la información almacenada en las nubes o gestionada a través de ellas, tanto empresas contratantes como proveedoras de este tipo de servicios deben cumplir con las siguientes obligaciones:

  • Firmar un contrato de encargo de tratamiento.
  • Incluir la cesión de datos al servicio en la nube en el registro de actividades de tratamiento.
  • Si los servidores del proveedor están fuera de la UE, la empresa contratante debe comprobar que el país al que se envían los datos cuenta con las garantías suficientes en materia de protección de datos o, en su caso, recurrir a la firma de cláusulas contractuales tipo aprobadas por la Comisión Europea para las transferencias internacionales de datos con terceros países.
  • La empresa que contrata el servicio debe asegurarse de que la empresa proveedora cuenta con las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos, así como que estos no serán cedidos a terceros ni usados con fines diferentes a los especificados en el contrato de protección de datos.
  • La empresa proveedora del servicio colaborará con la empresa contratante en los términos que hayan establecido en el contrato para la atención a solicitudes de derechos de los interesados. Además, informará de inmediato sobre cualquier brecha de seguridad que haya sufrido y puesto en riesgo dichos datos.
  • En el contrato de protección de datos o encargo de tratamiento, la empresa responsable del tratamiento deberá especificar qué debe hacer la empresa proveedora del servicio en la nube una vez finalice el plazo o la finalidad del tratamiento de los datos personales cedidos (si deben suprimirlos, bloquearlos o devolverlos al responsable).

¿Cómo protegen los datos en la nube las empresas?

Aparte de las obligaciones que hemos visto en el apartado anterior, hay otras consideraciones que la empresa responsable del tratamiento debe tener en cuenta para garantizar una protección de datos en la nube adecuada y de acuerdo a la normativa.

Como hemos dicho, las medidas de seguridad para proteger la información y los datos y evitar la pérdida, robo o alteración no autorizada de los mismos, depende básicamente de la empresa proveedora, pero, como ocurre con la protección de datos en la web, la empresa responsable del tratamiento también debe tomar y aplicar sus propias medidas de seguridad para evitar incidentes de seguridad por su lado.

Estas medidas pasan por:

  • Limitar el acceso a los archivos en la nube solo al personal autorizado y que necesite realmente trabajar con dichos datos.
  • Crear contraseñas seguras y robustas para acceder al servicio en la nube. Idealmente y si el proveedor cuenta con ello, activar la autenticación de dos factores.
  • Dependiendo del servicio contratado y los dispositivos en los que pueda usarse, cifrar los archivos subidos a la nube, de manera que si el dispositivo se pierde, dicha información no pueda ser accedida fácilmente.
  • Contratar el servicio en la nube con un proveedor de confianza, que cuente con medidas de seguridad adecuadas y efectivas y que cumpla con la normativa de protección de datos.
  • Realizar copias de seguridad de los archivos subidos a la nube, para garantizar su disponibilidad, si el servicio queda interrumpido.

En definitiva, a la hora de contratar servicios de cloud computing que impliquen la cesión de datos personales, las empresas deben siempre asegurarse que su proveedor cumple con el RGPD, así como aplicar por su lado las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos. La protección de datos en la nube depende tanto de la empresa que contrata el servicio como de la empresa que lo provee.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.