Alicia en el país de la nube

La nube atrae con su implementación sencilla e intuitiva y un grado máximo de escalabilidad. Además, se promociona la posibilidad de reducir las inversiones en TI y destinar esos fondos a los ámbitos generadores de valor de la empresa. Pero ¡cuidado!

Es muy fácil que se produzca una violación de los derechos de las personas afectadas en el sentido del Reglamento General de Protección de Datos (RGPD) y que, literalmente, la Reina Roja le inicie un procedimiento judicial. Al igual que en Alicia en el País de las Maravillas, para el usuario de la nube la protección de los datos personales puede parecer igual de mágica y, en parte, oscura que esta historia.

Los pasteles robados

Los datos personales suelen ser tan valiosos para las personas afectadas como los pasteles robados lo son para la Reina Roja. Pero ¿cómo es posible que estos desaparezcan, si los proveedores de servicios en la nube promocionan una conformidad ejemplar y el cumplimiento del RGPD? En el estudio «RGPD y utilización de servicios en la nube estadounidenses»

No dejéis que os roben vuestros pasteles – es decir, vuestros datos personales – . Esto es lo que debéis tener en cuenta. Fuente: Adobe Stock / Olyina

del Servicio Científico del Bundestag alemán se expone de forma muy precisa la problemática, cuya gravedad ya se intuye en el propio título. Según dicho estudio, existe el riesgo de una divulgación indebida de datos personales debido al acceso por parte de las autoridades de seguridad estadounidenses en el marco de la Ley CLOUD (Clarifying Lawful Overseas Use of Data Act). En este contexto, debe tenerse en cuenta que, debido a pertenencias corporativas, no puede darse por supuesta la seguridad frente a accesos no autorizados, incluso si la ubicación física de los servidores del proveedor de servicios en la nube se encuentra dentro del Espacio Económico Europeo (EEE). Además, agrava la situación el hecho de que, en caso de infracciones de la normativa de protección de datos – especialmente cuando dichas infracciones derivan de accesos basados en la Ley CLOUD – , las personas afectadas carecen de cualquier vía jurídica efectiva para reclamar sus derechos.

Otra problemática puede surgir de los esfuerzos reforzados para regular los contenidos web. Así, los sistemas de almacenamiento en la nube ya se escanean sistemáticamente en busca de contenidos relevantes desde el punto de vista penal, por ejemplo con el objetivo legítimo de proteger a los menores. Sin embargo, para el responsable del tratamiento resulta actualmente difícil evaluar hasta qué punto se extiende el acceso a los datos y cómo se procesan exactamente. Una ampliación adicional de las inspecciones en línea llevadas a cabo por proveedores privados de servicios en la nube podría generar problemas que vayan más allá de la protección de los datos personales, especialmente si, por ejemplo, también resultaran afectados datos empresariales.

El Sombrerero Loca invita al té

Ante todos los requisitos y promesas, a veces resulta difícil mantener una visión general y evaluar qué medidas deben adoptarse para garantizar un tratamiento de datos conforme a la normativa. Dado que, en el caso de los proveedores de servicios en la nube estadounidenses, debe considerarse que se produce una transferencia de datos a Estados Unidos (un tercer país considerado inseguro), el tratamiento de datos solo puede llevarse a cabo respetando el artículo 44 del RGPD. Pero, desde la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), según la cual una transferencia de datos ya no puede basarse en una decisión de adecuación de la Comisión Europea, uno tiene a veces la impresión de que, una vez más, no recibe la taza de té prometida.

Las bases legítimas para el tratamiento en el sentido del RGPD siguen siendo los contratos celebrados con empresas que acrediten su tratamiento conforme a la normativa de protección de datos mediante RBC (Reglas Corporativas Vinculantes aprobadas) o la firma de las nuevas cláusulas contractuales tipo (CCT) de la UE. En tal caso, sin embargo, es necesario implementar medidas adicionales para proteger los datos personales. El objetivo es garantizar una protección adecuada de los datos frente al acceso por parte de las autoridades de seguridad estadounidenses.

Salir del laberinto

Así como la Gata Risueña muestra a Alicia un camino, el RGPD recomienda, en su artículo 32, apartado 1, letra a), la pseudonimización y el cifrado como medios técnicos adecuados para cumplir estos requisitos. El Comité Europeo de Protección de Datos (CEPD) define en las «Directrices 07/2020 sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, versión 2.0» el requisito de que los datos personales deben cifrarse previamente a su transmisión y de que la clave de cifrado no debe ser conocida por el proveedor de servicios en la nube.

TeleTrusted ofrece, con su Guía de seguridad en la nube, una visión general clara y concisa de las medidas necesarias para utilizar aplicaciones en la nube de forma segura. En el apartado Cifrado integrado se presenta y compara la terminología habitual.

Existen distintas opciones para cifrar los datos, cada una con sus propias ventajas e inconvenientes. Fuente: Adobe Stock / Dario Lo Presti

Muchos proveedores han implementado soluciones BYOK (Bring Your Own Key), en las que la clave utilizada para cifrar los datos se transfiere a la infraestructura del proveedor de servicios en la nube y, por tanto, queda «técnicamente» conocida por este. De este modo se logra una función de gestión automatizada de claves (claves gestionadas por el servicio), controlada directamente por el proveedor de servicios en la nube.
Esta solución ofrece, ciertamente, una buena protección desde el punto de vista de la ciberseguridad, pero no cumple los requisitos legales en materia de protección de datos.

Debe prestarse atención a que el proveedor de la solución en la nube permita un procedimiento conforme al modelo HYOK (Hold Your Own Key), en el que se utilicen dos claves: una clave que permanece exclusivamente en poder del cliente y sin la cual los datos no pueden descifrarse, y una segunda clave que se implementa en la infraestructura del proveedor de servicios en la nube y que permite la gestión de claves en la nube. Esta solución ofrece la ventaja de que las medidas de seguridad informática – como el intercambio automatizado de claves – siguen funcionando plenamente, lo cual, en una solución HYOK pura, suele no ser posible o implica una carga administrativa considerablemente mayor.

Los enfoques de solución propuestos también pueden aplicarse a pequeña escala. Así, incluso el uso de Google Drive, OneDrive y Dropbox constituye un problema desde el punto de vista de la normativa de protección de datos si no se adoptan medidas adicionales. Aplicaciones como, por ejemplo, Cryptomator permiten almacenar datos de forma conforme a la normativa de protección de datos y también pueden utilizarse en entornos privados. El principio consiste en crear, por ejemplo en Dropbox, una carpeta cifrada mediante Cryptomator, en la que luego se puedan almacenar de forma segura archivos mediante Cryptomator. De este modo se conserva la funcionalidad de sincronización de las aplicaciones en la nube y, al mismo tiempo, se cumplen los requisitos de la normativa de protección de datos.

Con soluciones como estas, lograrán que nadie robe sus valiosos pasteles, es decir, sus datos personales. Estamos encantados de asesorarles sobre su configuración específica en la nube para garantizar una protección de datos impecable y una alta seguridad informática.

¡No dude en contactarnos!

Muchas preguntas, pero ninguna respuesta. ¡Nosotros podemos ayudarle! Nuestros expertos de msecure estarán encantados de asesorarle sobre cuestiones relacionadas con la protección de datos y la seguridad informática en su configuración específica en la nube. Aquí encontrará más información.

Hechos clave

Aplicación del RGPD: Solo el 28 % de las empresas alemanas se consideran plenamente conformes con el RGPD.

Sanción individual más elevada: 1.200 millones de euros contra Meta (2023) – la multa más alta impuesta hasta la fecha bajo el amparo del RGPD.

Preguntas frecuentes

¿Qué sanciones se prevén en caso de infracciones del RGPD?

Multas de hasta 20 millones de euros o del 4 % del volumen de negocios anual mundial – lo que resulte mayor – . Además, pueden surgir demandas de indemnización por daños y perjuicios interpuestas por las personas afectadas.

¿Qué es una evaluación de impacto relativa a la protección de datos?

Una EIPD es una evaluación sistemática de los riesgos que un tratamiento de datos supone para los derechos y libertades de las personas afectadas. Es obligatoria cuando el tratamiento probablemente implique un riesgo elevado – por ejemplo, en casos de elaboración de perfiles, videovigilancia o tratamiento de categorías especiales de datos.

¿Es aplicable el RGPD también a las pequeñas empresas?

Sí, el RGPD es aplicable independientemente del tamaño de la empresa a toda organización que trate datos personales de ciudadanos de la UE. Las pequeñas empresas se benefician de algunas excepciones limitadas (por ejemplo, no están obligadas a llevar un registro de actividades de tratamiento si cuentan con menos de 250 empleados y su tratamiento no entraña riesgos significativos), pero deben cumplir todos los principios fundamentales.

En resumen

En el estudio «RGPD y utilización de servicios en la nube estadounidenses» No dejéis que os roben vuestros pasteles – es decir, vuestros datos personales…
El CEPD (Comité Europeo de Protección de Datos) define en las «Directrices 07/2020 sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, versión 2.0» el requisito de que los datos personales…
Existen distintas opciones para cifrar los datos, cada una con sus propias ventajas e inconvenientes.
Además, se promociona la posibilidad de reducir las inversiones en TI y destinar esos fondos a los ámbitos generadores de valor de la empresa.

Artikel drucken

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow