Tratamiento de datos personales en la Nube

Cada vez son más las empresas y autónomos que migran la gestión de los datos personales a sistemas en la “nube”, pero ¿Qué se entiende por nube?.

La nube es una red de servidores remotos que están conectados para funcionar como un único sistema y están diseñados para funcionar como almacen de datos, ejecutar aplicaciones, reproducir videos, etc.

Existen empresas que proporcionan espacio en la nube para instalar allí nuestros programas o datos. Si contratamos alguno de estos servicios en las modalidades existentes (Software como servicio o SaaS, plataforma como servicio o PaaS o infraestructura como servicio Iaas) debemos tener en cuenta que habrá que compartir responsabilidades entre el proveedor de este tipo de servicios y nosotros, el cliente final, que usa la nube para tratar los datos personales como responsable.

Las medidas de seguridad principales que habría que cumplir son:

  • Proteger y administrar el sistema operativo
  • Configuración de redes, aplicaciones y datos
  • Administración de usuarios y políticas de seguridad
  • Realización de copias de seguridad

¿Cuáles son las obligaciones de este tipo de prestadores de servicios?

Dependiendo de la modalidad de servicio en la nube contratado, el prestador de dicho servicio asumirá una o varias de estas obligaciones, descargando al cliente del cumplimiento, por lo tanto es extremadamente importante analizar el contrato de prestación de servicios para determinar dichas obligaciones y revisar las medidas de seguridad que el prestador está obligado a cumplir para proteger los datos personales que se encuentren en la nube.

Si se produce una brecha de seguridad en los sistemas en la nube, ¿estaríamos expuestos a recibir una sanción por parte de la Agencia de Protección de Datos?

Al compartir responsabilidades con el prestador del servicio dependerá de cómo se haya producido la brecha, debiendo determinar el grado de responsabilidad de uno u otro pero, indudablemente el expediente sancionador recaerá ante el responsable de los datos, esto es, el cliente final, por lo que la revisión de estos protocolos entre las partes es uno de los procedimientos críticos en la gestión de los datos personales.

 

Autor: A. Amo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.