Parlem dels punts clau per complir el RGPD treballant en entorns al núvol.
Tot just falten uns mesos per al quart aniversari del Reglament General de Protecció de Dades (RGPD). Des de l?entrada en vigor d?aquesta normativa europea, les empreses han hagut de fer molts esforços per complir-la i evitar multes quantioses.
No obstant això, a diferència de les grans organitzacions, molts negocis no poden dedicar equips sencers a elaborar una estratègia de protecció de dades i assegurar-ne la implementació en tot moment.
Per a aquestes empreses, la computació al núvol pot ser de gran ajuda. Per això, avui abordarem breument quines mesures de diligència deguda cal aplicar per triar un proveïdor de serveis núvol
Aspectes fonamentals de la normativa de protecció de dades
Per simplificar el compliment normatiu, l'Agència Espanyola de Protecció de Dades (AEPD) n'ha creat una guia per a responsables del tractament. Entre les seves obligacions generals, hi ha:
- Obtenir i processar les dades personals amb el consentiment informat, exprés i inequívoc de cada ciutadà. Això està relacionat amb el dret d'accés, és a dir, el dret a conèixer el tipus de dades que es tracten, i el d'oposició, pel qual es pot negar al tractament de les vostres dades.
- Mantenir les dades actualitzades i veraces (relatiu al dret de rectificació dades incompletes o errònies).
- Usar la informació únicament per als propòsits especificats i conservar-la només el temps necessari per dur a terme aquests propòsits.
- Documentar clarament les activitats de tractament de dades.
- Garantir el dret a l'oblit (esborrat de les dades) ia la portabilitat (lliurament a qualsevol persona que vulgui una còpia de les seves dades personals en un format estructurat i comú).
- Garantir la seguretat de les dades, inclòs mitjançant xifratge, i vetllar per la seva privadesa emmagatzemant-les en llocs segurs. Les mesures concretes depenen del tipus de dades que es tractin, com i amb quina finalitat.
- Complir el principi de responsabilitat activa, és a dir, adoptar des del començament mesures per evitar riscos i filtracions de dades.
- Establir protocols per comunicar les bretxes de seguretat en un termini màxim de 72 hores, així com informació sobre l'abast d'aquesta bretxa.
Així pot ajudar el núvol a complir el RGPD
Entre els requisits de seguretat i responsabilitat del RGPD, s'hi inclouen tenir còpies de les dades personals que es manegen —una de les quals s'haurà de guardar en un altre equip informàtic— i comptar amb un protocol de recuperació.
En aquest sentit, els entorns al núvol són útils per diverses raons:
- Recuperació completa de la informació. Amb la computació al núvol, és pràcticament impossible que es perdin les dades, perquè els proveïdors solen tenir processos de suport mitjançant còpia de seguretat automàtica en cas de desperfecte.
- Disponibilitat de la informació. Els serveis d'emmagatzematge o de programari al núvol faciliten el registre detallat de les activitats dutes a terme i permeten complir els requisits d'actualització, esborrament i portabilitat de la informació de forma més pràctica i senzilla, ja que es pot accedir a les dades a qualsevol moment i lloc.
- Tecnologia actualitzada i segura. Els proveïdors especialitzats, per la naturalesa dels seus serveis, apliquen recursos i mesures que moltes empreses no poden dedicar, sobretot pel que fa a la seguretat del maquinari.
Com fer servir el núvol i complir el RGPD
Des d'un punt de vista jurídic, el darrer responsable del tractament de la informació és l'empresa que ha obtingut les dades. Per tant, abans d'escollir els vostres proveïdors, assegureu-vos que aquests compleixen la normativa.
Per fer-ho, en primer lloc heu d'esbrinar si les dades s'emmagatzemen en servidors ubicats fora de la Unió Europea. Si és així, el país en qüestió ha d'haver signat un acord de suficiència en matèria de protecció de dades. És a dir, les lleis del dit Estat s'han d'haver declarat oficialment compatibles amb les de la Unió.
La gestió de la informació també és important. Així, el personal de l'empresa ha de saber exactament on són les dades més sensibles (aïllament de dades) i comprovar que aquestes es xifren.
Un altre factor fonamental són les salvaguardes de seguretat: convé que el proveïdor tingui solucions de xarxa que incloguin prevenció d'atacs (p. ex. tallafocs avançats), anàlisis automatitzades i mesures de contenció.
Alguns proveïdors s'avalen mitjançant certificacions com els informes SOC 1, SOC 2 i SOC 3. En qualsevol cas, a la guia de l'AEPD per contractar serveis al núvol trobaràs més informació sobre com triar un proveïdor.
D'altra banda, les empreses han de posar tots els mitjans per protegir les dades abans de pujar-les al núvol. Així, en un entorn híbrid en què es facin servir aplicacions in situ i al núvol, és crucial:
- Bloquegeu a la capa DNS les eines que no s'ajusten a la normativa. El simple fet de fer servir aplicacions no autoritzades per compartir informació es considera una fuita que pot comportar una infracció greu.
- Establir un sistema clar dadministració. Perquè les dades no es modifiquin ni es processin sense autorització, cal definir qui pot accedir a la xarxa, amb quins permisos i quin nivell de seguretat.
- Revisar els ajustaments sobre protecció de dades que presenten per defecte els serveis demmagatzematge al núvol abans de posar en marxa el sistema.
T'ajudem a complir la llei de protecció de dades
A Nominalia et posem molt fàcil portar la teva empresa al núvol amb el paquet de solucions Microsoft 365 i els nostres servidors cloud.
A més, amb el nostre servei sobre la Llei de Protecció de Dades, t'ajudem a adaptar la teva web o botiga online a les normatives RGPD/LSSICE: posa't en contacte i, segons el tipus de dades que manegi el teu negoci, rebràs els avisos legals que has de publicar, així com els protocols per implantar, el document de registre d'activitats i la resta de documentació per estar coberts legalment.
Truca'ns al 93 288 40 62 si tens qualsevol dubte!