El uso de la nube o de servicios de cloud computing por parte de las empresas, puede implicar en muchos casos el uso de datos personales en la nube, ya sea para su almacenamiento o para su gestión. Por lo tanto, se produce un tratamiento de datos que necesariamente implica cumplir con las obligaciones de la normativa de protección de datos. En este artículo hablaremos de la protección de datos en la nube y lo que significa para las empresas.
En este artículo hablamos de:
- ¿Qué es la protección de datos en la nube?
- ¿Por qué es importante la protección de datos en la nube?
- Ventajas de la protección de datos en la nube
- ¿Cómo se protegen los datos en la nube? Prácticas recomendadas
- ¿Qué problemas de seguridad trae asociados la nube?
- ¿Cómo puede ayudarle Grupo Atico34 a proteger sus datos en la nube?
¿Qué es la protección de datos en la nube?
Cuando hablamos de protección de datos en la nube debemos distinguir entre la protección de datos como servicio (DPaaS), que funciona a través de la nube (si bien no significa que sea un servicio de protección de datos en el sentido de cumplir con la ley), y cuando una empresa contrata un servicio en la nube, del que se deriva un tratamiento de datos personales (como puede ser por ejemplo, almacenar y gestionar bases de datos de clientes y empleados).
En este artículo, vamos a hablar del segundo caso, es decir, de la protección de datos personales en la nube para empresas que contratan servicios que implican el uso de la nube.
En ese sentido, la protección de datos en la nube consiste en la adopción, tanto por parte del proveedor del servicio como de quien lo contrata, de las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos subidos a la nube.
Así, la protección de tus datos en la nube depende de dos actores, el servicio al que has cedido tus datos personales y el proveedor de servicios en la nube que este ha contratado y que implica el tratamiento de tus datos (sea solo como almacenamiento o para su gestión).
¿Por qué es importante la protección de datos en la nube?
La protección de datos en la nube es importante porque es una obligación legal; si como empresa o autónomo subimos datos personales a la nube (a través de un servicio de cloud computing, como pueden ser Dropbox, Google Drive o un servicio SaaS que requiere la cesión de datos personales), debemos tener en cuenta que estamos ante un tratamiento de datos personales y que, por tanto, debemos cumplir con las obligaciones del RGPD y la LOPDGDD, puesto que somos responsables de la seguridad, confidencialidad, integridad y disponibilidad de dichos datos.
Además, estamos «confiando» dichos datos a un tercero, el proveedor de un servicio cloud, que, aunque también debe cumplir con la normativa de protección de datos, es responsabilidad nuestra como responsable del tratamiento de hacer las debidas comprobaciones para asegurarnos de que cumple con dicha normativa. Esto implica también saber dónde se encuentran los servidores del proveedor, dónde se almacenan los datos, qué medidas de seguridad tiene implementadas, si subcontrata algún servicio, que garantías ofrece, etc.
Como responsables del tratamiento debemos asegurarnos de que los datos de nuestros clientes o usuarios están debidamente protegidos y a salvo de accesos no autorizados o filtraciones, así como que no son usados con fines diferentes a los acordados (como, por ejemplo, fines publicitarios).
En ese sentido (como ocurre con la protección de datos en las redes sociales cuando se usan con un perfil profesional), y como veremos más adelante, para una empresa o autónomo no solo basta con conocer la política de privacidad de un servicio en la nube (como puede ser, por ejemplo, la política de privacidad en Google Drive para quienes usen esta nube de uso gratuito), sino que habrá que conocer a fondo cómo y dónde almacena y/o gestiona los datos el proveedor del servicio, sus medidas de seguridad y establecer determinadas condiciones en un contrato, del que hablaremos más adelante.
Ventajas de la protección de datos en la nube
Utilizar servicios en la nube aporta diferentes ventajas a las empresas, incluido en lo relativo a la protección de datos en la nube:
- Permite tener una copia de seguridad de los datos almacenada fuera de la empresa, lo que permite la recuperación de dichos datos, ante incidencias de seguridad que puedan afectarlos.
- El cifrado de la información que se sube a la nube, garantiza una mejor protección ante posibles filtraciones.
- El acceso mediante contraseñas y el enfoque de confianza cero que suelen adoptar los proveedores de servicios en la nube, mejora la seguridad de la información que se sube a esta, limitando efectivamente el acceso solo a quienes deben trabajar con los datos personales.
- Los servicios en la nube son escalables, es decir, que la empresa puede contratar solo aquello que necesita (en cuanto espacio de almacenamiento, periodicidad y tipos de copias de seguridad, etc.) y aumentar dicho servicio si el negocio crece, de manera que hay un ahorro en los costes.
¿Cómo se protegen los datos en la nube? Prácticas recomendadas
Debemos tener en cuenta que a la hora de contratar un servicio en la nube, que requiera del tratamiento de datos personales, son dos los actores que deben ocuparse la protección de datos en la nube; el responsable del tratamiento, es decir, la empresa que contrata el servicio en la nube, y, por otro lado, la empresa proveedora del servicio, que será la encargada del tratamiento.
En general, las medidas de seguridad para proteger la información y los datos y evitar la pérdida, robo o alteración no autorizada de los mismos, dependen básicamente de la empresa proveedora, pero, como ocurre con la protección de datos en la web, la empresa responsable del tratamiento también debe tomar y aplicar sus propias medidas de seguridad para evitar incidentes de seguridad desde su lado.
Estas medidas pasan por:
- Limitar el acceso a los archivos en la nube solo al personal autorizado y que necesite realmente trabajar con dichos datos.
- Crear contraseñas seguras y robustas para acceder al servicio en la nube. Idealmente y si el proveedor cuenta con ello, activar la autenticación de dos factores.
- Dependiendo del servicio contratado y los dispositivos en los que pueda usarse, cifrar los archivos subidos a la nube, de manera que si el dispositivo se pierde, dicha información no pueda ser accedida fácilmente.
- Contratar el servicio en la nube con un proveedor de confianza, que cuente con medidas de seguridad adecuadas y efectivas y que cumpla con la normativa de protección de datos.
- Realizar copias de seguridad de los archivos subidos a la nube, para garantizar su disponibilidad, si el servicio queda interrumpido.
- Asegurar que el proveedor llevará a cabo una eliminación segura de los datos una vez finalice la relación contractual.
Aparte de la aplicación de estas medidas de seguridad, la empresa responsable del tratamiento y la empresa proveedora del servicio deben cumplir con una serie de obligaciones establecidas en la normativa de protección de datos, en tanto en cuanto, la empresa proveedora pueda tener acceso a datos personales tratados por el responsable del tratamiento:
- Firmar un contrato de encargo de tratamiento.
- Incluir la cesión de datos al servicio en la nube en el registro de actividades de tratamiento.
- Si los servidores del proveedor están fuera de la UE, la empresa contratante debe comprobar que el país al que se envían los datos cuenta con las garantías suficientes en materia de protección de datos o, en su caso, recurrir a la firma de cláusulas contractuales tipo aprobadas por la Comisión Europea para las transferencias internacionales de datos con terceros países.
- La empresa que contrata el servicio debe asegurarse de que la empresa proveedora cuenta con las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos, así como que estos no serán cedidos a terceros ni usados con fines diferentes a los especificados en el contrato de protección de datos.
- La empresa proveedora del servicio colaborará con la empresa contratante en los términos que hayan establecido en el contrato para la atención a solicitudes de derechos de los interesados. Además, informará de inmediato sobre cualquier brecha de seguridad que haya sufrido y puesto en riesgo dichos datos.
- En el contrato de protección de datos o encargo de tratamiento, la empresa responsable del tratamiento deberá especificar qué debe hacer la empresa proveedora del servicio en la nube una vez finalice el plazo o la finalidad del tratamiento de los datos personales cedidos (si deben suprimirlos, bloquearlos o devolverlos al responsable).
¿Qué problemas de seguridad trae asociados la nube?
A la hora de contratar un servicio que se gestione a través de la nube, las empresas deben ser conscientes de los problemas de seguridad que esto implica para la protección de datos en internet, si bien es cierto que gran parte de las medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos deberá aplicarlas el proveedor del servicio.
Entre los riesgos que existen en el uso de la nube, destacamos:
- Accesos no autorizados por parte de terceros.
- Ataques que interrumpan el servicio (como ataques DDoS).
- Pérdida o filtración de información.
- Explotación de vulnerabilidades.
- Uso indebido de la información almacenada en la nube.
Además, a estos problemas hay que añadir los riegos asociados al uso de los servicios de cloud computing, que la guía de la AEPD agrupa en dos categorías generales:
- Falta de transparencia por parte del proveedor, de manera que el responsable del tratamiento y quien contrata el servicio desconoce «qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor». Esta falta de transparencia repercute de forma negativa en el responsable, que no sabrá qué riesgos existen para los datos cedidos y, por tanto, qué medidas de seguridad adoptar, dónde se encuentran los datos, qué medidas de seguridad tiene implementadas el proveedor o si este recurre a otros prestadores de servicios (subcontratación).
- Falta de control sobre los datos personales cedidos por parte del responsable, derivada, precisamente, de esa falta de transparencia. Esto supone, entre otras, dificultades para saber dónde están los datos, si es posible la portabilidad, así como la gestión de otros derechos de los interesados.
¿Cómo puede ayudarle Grupo Atico34 a proteger sus datos en la nube?
Contratar los servicios de un proveedor en la nube, implica, cómo hemos visto, cumplir con una serie de obligaciones de la normativa de protección de datos, lo que incluye también la adopción de medidas de seguridad, tanto por parte del responsable del tratamiento como del proveedor del servicio, para garantizar la confidencialidad, disponibilidad e integridad de los datos.
Grupo Atico34 puede ayudarle a cumplir con las obligaciones del RGPD y la LOPDGDD, como son la redacción del contrato de encargo de tratamiento, la evaluación de la seguridad y el nivel de cumplimiento de la normativa de los proveedores de servicios en la nube, la clasificación de los datos y la identificación y análisis de riesgos relativos a los servicios en la nube, etc., así como a diseñar e implementar las correspondientes medidas de seguridad para garantizar la protección de los datos personales que se subirán a la nube.
En definitiva, cuando se trata de protección de datos en la nube, es cosa de dos, pero como responsable del tratamiento, la responsabilidad final ante incidentes o brechas de seguridad será siempre suya.