¿Cumple el software en la nube con el GDPR? Una guía para los profesionales del marketing

Las plataformas en la nube se han convertido en una herramienta cada vez más importante para las empresas modernas, y es fácil ver por qué: el 85% de los datos de las empresas estadounidenses estaban en el almacenamiento en la nube en 2020 y se espera que el volumen del mercado de la nube pública alcance los 679 mil millones de dólares en 2025 (Statista, CRN).

Pero, a medida que las empresas hacen la migración a la nube en un número cada vez mayor, la cuestión de la seguridad de los datos de almacenamiento en la nube ha crecido en importancia - especialmente a la luz de los estrictos requisitos del GDPR que entraron en vigor en 2018.

A algunas empresas les preocupa exponerse a multas por incumplimiento del GDPR al utilizar un proveedor de la nube para almacenar datos para ellos.

Y, aunque esto es comprensible dado que un tercero está involucrado, no hay razón para que los datos almacenados y gestionados sean necesariamente menos seguros.

¿Qué es la nube?

En términos sencillos, la nube es una red de servidores diseñada para almacenar grandes cantidades de datos.

Las empresas pueden utilizar este hardware para almacenar sus propios datos, a los que pueden acceder a través de Internet.

Algunos ejemplos populares son Dropbox, Google Cloud y Amazon Web Services.

En términos generales, el software en la nube puede clasificarse en tres tipos:

1. Público - un servicio en la nube basado en Internet que se entrega a múltiples organizaciones, ya sea de forma gratuita o con una suscripción de pago por uso
2. Privada: un servicio en la nube interno dedicado a una sola empresa
3. Híbrida - una mezcla de nube pública y privada

También suelen desglosarse de otra manera:

• Infraestructura como servicio (IaaS): una empresa paga por acceder a los recursos informáticos y de almacenamiento de un proveedor de la nube
• Software como servicio (SaaS): una empresa paga por acceder a un software a la carta a través de Internet.
• Plataforma como servicio (PaaS): un servicio con un entorno de desarrollo y despliegue que las empresas pueden utilizar para crear aplicaciones en un navegador

Ventajas de la nube para las empresas

El almacenamiento en la nube puede tener enormes ventajas para las empresas a un precio contenido: reduce los costes de seguridad y gestión de datos, mejora la comunicación y cataliza un mejor trabajo en equipo.

Las empresas también se benefician de una mayor seguridad, menos tiempo de inactividad por problemas de infraestructura informática y una excelente escalabilidad a medida que crecen.

En conjunto, el software en la nube proporciona a las empresas la flexibilidad adicional que puede darles una ventaja competitiva crucial:

• El 84% afirma haber obtenido mejoras operativas en los primeros meses de introducción (Multisoft)
• A las pequeñas y medianas empresas les resulta un 40% más rentable emplear plataformas en la nube de terceros que mantener una alternativa interna (Multisoft)
• El 94% de las empresas informan de mejoras sustanciales en la seguridad en línea tras migrar los datos a la nube (Salesforce)

¿Cómo se ha visto afectado el software en la nube por el GDPR?

De manera crucial, el 91% de las empresas cree que las plataformas de almacenamiento en la nube han sido de gran ayuda en su trabajo de cumplimiento de los requisitos gubernamentales, como el GDPR (Salesforce).

Hace tiempo que se diseñan con la seguridad en primer plano, empleando un cifrado avanzado al transmitir los datos, lo que significa que ningún usuario no autorizado puede acceder a la información privada.

Dicho esto, el RGPD ha cambiado permanentemente la forma en que los datos personales pueden ser almacenados y procesados en la nube y el SEPD -el organismo de control de la privacidad de la UE- está investigando si los servicios en la nube AWS de Amazon y Azure de Microsoft están protegiendo los datos de los ciudadanos de manera efectiva.

Los requisitos del RGPD para los proveedores de servicios en la nube son los siguientes

• Desarrollar principios para el tratamiento de datos personales
• Garantizar que el proceso de tratamiento de datos respeta los 8 derechos de los interesados del RGPD
• Establecer requisitos de privacidad desde el diseño para cualquier persona que participe en el procesamiento de datos y en las actividades de control
• Implantar controles sobre la propiedad de los datos y el derecho de portabilidad de los mismos
• Introducir medidas de seguridad que garanticen la privacidad de los datos
• Establecer principios para el tratamiento de datos a terceros internacionales
• Desarrollar políticas y procedimientos para gestionar las violaciones de datos
• Desarrollar políticas relativas al establecimiento de acuerdos contractuales, períodos de retención de datos y otros requisitos aplicables

¿Cuál es la responsabilidad de una empresa con respecto a los datos almacenados en la nube?

Los problemas de seguridad de terceros son una de las principales preocupaciones del GDPR, y estos incluyen cuando una plataforma de nube de terceros está almacenando datos en nombre de una empresa cliente.

El GDPR distingue entre "controladores de datos" y "procesadores de datos" cuando se trata de la responsabilidad de la seguridad de la información personal.

En este contexto, la empresa es el controlador de datos, mientras que el proveedor de software en la nube es el procesador de datos, lo que significa que la empresa es, por lo tanto, responsable de mantener los datos personales seguros, independientemente de si se almacenan en sus propios servidores o no.

Qué hay que tener en cuenta al elegir una plataforma en la nube

Antes de migrar a la nube, es aconsejable que las empresas se aseguren de que su flujo de datos personales está correctamente trazado y que realicen una evaluación del impacto sobre la privacidad.

Para ello, serán fundamentales las siguientes consideraciones:

• Soberanía de los datos La normativa del GDPR estipula que los datos deben almacenarse en la Unión Europea. Por suerte, hay muchos proveedores de servicios en la nube que le permiten elegir dónde se almacenan los datos, por lo que puede seleccionar uno que utilice centros de datos en Europa.
• Seguridad de los datos Compruebe qué seguridad tiene la plataforma de almacenamiento en la nube, y elija una que ofrezca cifrado de extremo a extremo. En última instancia, debe estar seguro de que el proveedor cuenta con los procedimientos de seguridad adecuados.
• Respeto a los titulares de los datos Elija un proveedor de servicios en la nube que respete los ocho derechos de privacidad de los titulares de los datos de la UE.
• Protección de datos por diseño y por defecto Asegúrese de que la empresa en la nube ha integrado la seguridad en su diseño y procedimientos, por ejemplo, utilizando un cifrado de conocimiento cero que restrinja el acceso a la información sensible. Esto es clave, ya que cualquier violación de datos será, en última instancia, responsabilidad de su empresa.

El cumplimiento del GDPR requiere un trabajo continuo

Una vez que la empresa ha migrado los datos a la nube, es conveniente realizar auditorías periódicas para garantizar que los procedimientos y procesos operativos siguen cumpliendo con el GDPR.

También es aconsejable comprobar periódicamente que la plataforma en la nube sigue cumpliendo las garantías de seguridad ofrecidas.

Esta labor suele ser realizada por organismos de control o sitios de revisión independientes, que deben verificarse antes de tomar cualquier decisión sobre la opción a elegir.