{"id":8438,"date":"2021-10-29T15:54:20","date_gmt":"2021-10-29T15:54:20","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3015-2\/"},"modified":"2026-05-10T19:15:37","modified_gmt":"2026-05-10T19:15:37","slug":"alicia-en-el-pais-de-la-nube","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2021\/10\/29\/alicia-en-el-pais-de-la-nube\/","title":{"rendered":"Alicia en el pa\u00eds de la nube"},"content":{"rendered":"

La nube atrae con su implementaci\u00f3n sencilla e intuitiva y un grado m\u00e1ximo de escalabilidad. Adem\u00e1s, se promociona la posibilidad de reducir las inversiones en TI y destinar esos fondos a los \u00e1mbitos generadores de valor de la empresa. Pero \u00a1cuidado!<\/strong><\/p>\n

Es muy f\u00e1cil que se produzca una violaci\u00f3n de los derechos de las personas afectadas en el sentido del Reglamento General de Protecci\u00f3n de Datos (RGPD) y que, literalmente, la Reina Roja le inicie un procedimiento judicial. Al igual que en Alicia en el Pa\u00eds de las Maravillas<\/em>, para el usuario de la nube la protecci\u00f3n de los datos personales puede parecer igual de m\u00e1gica y, en parte, oscura que esta historia.<\/p>\n

Los pasteles robados<\/h2>\n

Los datos personales suelen ser tan valiosos para las personas afectadas como los pasteles robados lo son para la Reina Roja. Pero \u00bfc\u00f3mo es posible que estos desaparezcan, si los proveedores de servicios en la nube promocionan una conformidad ejemplar y el cumplimiento del RGPD? En el estudio \u00abRGPD y utilizaci\u00f3n de servicios en la nube estadounidenses<\/a>\u00bb<\/p>\n

\"\"

No dej\u00e9is que os roben vuestros pasteles – es decir, vuestros datos personales – . Esto es lo que deb\u00e9is tener en cuenta. Fuente: Adobe Stock \/ Olyina<\/p><\/div>\n

del Servicio Cient\u00edfico del Bundestag alem\u00e1n se expone de forma muy precisa la problem\u00e1tica, cuya gravedad ya se intuye en el propio t\u00edtulo. Seg\u00fan dicho estudio, existe el riesgo de una divulgaci\u00f3n indebida de datos personales debido al acceso por parte de las autoridades de seguridad estadounidenses en el marco de la Ley CLOUD<\/strong> (Clarifying Lawful Overseas Use of Data Act<\/em>). En este contexto, debe tenerse en cuenta que, debido a pertenencias corporativas, no puede darse por supuesta la seguridad frente a accesos no autorizados, incluso si la ubicaci\u00f3n f\u00edsica de los servidores del proveedor de servicios en la nube se encuentra dentro del Espacio Econ\u00f3mico Europeo (EEE). Adem\u00e1s, agrava la situaci\u00f3n el hecho de que, en caso de infracciones de la normativa de protecci\u00f3n de datos – especialmente cuando dichas infracciones derivan de accesos basados en la Ley CLOUD – , las personas afectadas carecen de cualquier v\u00eda jur\u00eddica efectiva para reclamar sus derechos.<\/p>\n

Otra problem\u00e1tica puede surgir de los esfuerzos reforzados para regular los contenidos web<\/a>. As\u00ed, los sistemas de almacenamiento en la nube ya se escanean sistem\u00e1ticamente en busca de contenidos relevantes desde el punto de vista penal, por ejemplo con el objetivo leg\u00edtimo de proteger a los menores. Sin embargo, para el responsable del tratamiento resulta actualmente dif\u00edcil evaluar hasta qu\u00e9 punto se extiende el acceso a los datos y c\u00f3mo se procesan exactamente. Una ampliaci\u00f3n adicional de las inspecciones en l\u00ednea llevadas a cabo por proveedores privados de servicios en la nube podr\u00eda generar problemas que vayan m\u00e1s all\u00e1 de la protecci\u00f3n de los datos personales, especialmente si, por ejemplo, tambi\u00e9n resultaran afectados datos empresariales.<\/p>\n

El Sombrerero Loca invita al t\u00e9<\/h2>\n

Ante todos los requisitos y promesas, a veces resulta dif\u00edcil mantener una visi\u00f3n general y evaluar qu\u00e9 medidas deben adoptarse para garantizar un tratamiento de datos conforme a la normativa. Dado que, en el caso de los proveedores de servicios en la nube estadounidenses, debe considerarse que se produce una transferencia de datos a Estados Unidos<\/strong> (un tercer pa\u00eds considerado inseguro), el tratamiento de datos solo puede llevarse a cabo respetando el art\u00edculo 44 del RGPD. Pero, desde la sentencia Schrems II<\/strong> del Tribunal de Justicia de la Uni\u00f3n Europea (TJUE), seg\u00fan la cual una transferencia de datos ya no puede basarse en una decisi\u00f3n de adecuaci\u00f3n de la Comisi\u00f3n Europea, uno tiene a veces la impresi\u00f3n de que, una vez m\u00e1s, no recibe la taza de t\u00e9 prometida.<\/p>\n

Las bases leg\u00edtimas para el tratamiento en el sentido del RGPD siguen siendo los contratos celebrados con empresas que acrediten su tratamiento conforme a la normativa de protecci\u00f3n de datos mediante RBC (Reglas Corporativas Vinculantes aprobadas)<\/strong><\/a> o la firma de las nuevas cl\u00e1usulas contractuales tipo (CCT) de la UE<\/strong><\/a>. En tal caso, sin embargo, es necesario implementar medidas adicionales para proteger los datos personales. El objetivo es garantizar una protecci\u00f3n adecuada de los datos frente al acceso por parte de las autoridades de seguridad estadounidenses<\/strong>.<\/p>\n

Salir del laberinto<\/h2>\n

 <\/p>\n

As\u00ed como la Gata Risue\u00f1a muestra a Alicia un camino, el RGPD recomienda, en su art\u00edculo 32, apartado 1, letra a), la pseudonimizaci\u00f3n<\/strong> y la cifrado<\/strong> como medios t\u00e9cnicos adecuados para cumplir estos requisitos. El Comit\u00e9 Europeo de Protecci\u00f3n de Datos (CEPD) define, en sus \u00abDirectrices 07\/2020 sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, versi\u00f3n 2.0<\/a>\u00bb, el requisito de que los datos personales deben cifrarse previamente a su transmisi\u00f3n<\/strong>, y de que la clave de cifrado no debe ser conocida por el proveedor de servicios en la nube.<\/p>\n

TeleTrusted ofrece, con su Gu\u00eda de seguridad en la nube<\/strong><\/a>, una visi\u00f3n general clara y concisa de las medidas necesarias para utilizar aplicaciones en la nube de forma segura. En el apartado \u00abCifrado integrado\u00bb se presenta y compara la terminolog\u00eda habitual.<\/p>\n

\"\"

Existen distintas opciones para cifrar los datos, cada una con sus propias ventajas e inconvenientes. Fuente: Adobe Stock \/ Dario Lo Presti<\/p><\/div>\n

Muchos proveedores han implementado soluciones BYOK<\/strong> (Bring Your Own Key<\/em>), en las que la clave utilizada para cifrar los datos se transfiere a la infraestructura del proveedor de servicios en la nube y, por tanto, queda \u00abt\u00e9cnicamente\u00bb conocida por este. De este modo se logra una funci\u00f3n de gesti\u00f3n automatizada de claves (claves gestionadas por el servicio<\/strong>), controlada directamente por el proveedor de servicios en la nube.
\nEsta soluci\u00f3n ofrece, ciertamente, una buena protecci\u00f3n desde el punto de vista de la ciberseguridad, pero no cumple los requisitos legales en materia de protecci\u00f3n de datos<\/strong>.<\/p>\n

Debe prestarse atenci\u00f3n a que el proveedor de la soluci\u00f3n en la nube permita un procedimiento conforme al modelo HYOK<\/strong> (Hold Your Own Key<\/em>), en el que se utilicen dos claves: una clave que permanece exclusivamente en poder del cliente y sin la cual los datos no pueden descifrarse, y una segunda clave que se implementa en la infraestructura del proveedor de servicios en la nube y que permite la gesti\u00f3n de claves en la nube. Esta soluci\u00f3n ofrece la ventaja de que las medidas de seguridad inform\u00e1tica – como el intercambio automatizado de claves – siguen funcionando plenamente, lo cual, en una soluci\u00f3n HYOK pura, suele no ser posible o implica una carga administrativa considerablemente mayor.<\/p>\n

Los enfoques de soluci\u00f3n propuestos tambi\u00e9n pueden aplicarse a peque\u00f1a escala. As\u00ed, incluso el uso de Google Drive, OneDrive y Dropbox constituye un problema desde el punto de vista de la normativa de protecci\u00f3n de datos si no se adoptan medidas adicionales. Aplicaciones como, por ejemplo, Cryptomator<\/strong><\/a> permiten almacenar datos de forma conforme a la normativa de protecci\u00f3n de datos y tambi\u00e9n pueden utilizarse en entornos privados. El principio consiste en crear, por ejemplo en Dropbox, una carpeta cifrada mediante Cryptomator, en la que luego se puedan almacenar de forma segura archivos mediante Cryptomator. De este modo se conserva la funcionalidad de sincronizaci\u00f3n de las aplicaciones en la nube y, al mismo tiempo, se cumplen los requisitos de la normativa de protecci\u00f3n de datos.<\/p>\n

Con soluciones como estas, lograr\u00e1n que nadie robe sus valiosos pasteles, es decir, sus datos personales. Estamos encantados de asesorarles sobre su configuraci\u00f3n espec\u00edfica en la nube para garantizar una protecci\u00f3n de datos impecable y una alta seguridad inform\u00e1tica.<\/p>\n

\u00a1No dude en contactarnos!<\/a><\/h5>\n

Muchas preguntas<\/span>, <\/span>pero ninguna respuesta. \u00a1Nosotros podemos ayudarle! Nuestros expertos de <\/span>msecure<\/span> estar\u00e1n encantados de asesorarle sobre cuestiones relacionadas con la<\/span> protecci\u00f3n de datos<\/span> y la <\/span>seguridad inform\u00e1tica<\/span> en su configuraci\u00f3n espec\u00edfica en la nube.<\/span> Aqu\u00ed<\/a> encontrar\u00e1 m\u00e1s informaci\u00f3n.<\/span><\/p>\n

Hechos clave<\/h2>\n

Aplicaci\u00f3n del RGPD:<\/strong> Solo el 28 % de las empresas alemanas se consideran plenamente conformes con el RGPD.<\/p>\n

Sanci\u00f3n individual m\u00e1s elevada:<\/strong> 1.200 millones de euros contra Meta (2023) – la multa m\u00e1s alta impuesta hasta la fecha bajo el amparo del RGPD.<\/p>\n

Preguntas frecuentes<\/h2>\n

\u00bfQu\u00e9 sanciones se prev\u00e9n en caso de infracciones del RGPD?<\/h3>\n

Multas de hasta 20 millones de euros o del 4 % del volumen de negocios anual mundial – lo que resulte mayor – . Adem\u00e1s, pueden surgir demandas de indemnizaci\u00f3n por da\u00f1os y perjuicios interpuestas por las personas afectadas.<\/p>\n

\u00bfQu\u00e9 es una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos?<\/h3>\n

Una EIPD es una evaluaci\u00f3n sistem\u00e1tica de los riesgos que un tratamiento de datos supone para los derechos y libertades de las personas afectadas. Es obligatoria cuando el tratamiento probablemente implique un riesgo elevado – por ejemplo, en casos de elaboraci\u00f3n de perfiles, videovigilancia o tratamiento de categor\u00edas especiales de datos.<\/p>\n

\u00bfEs aplicable el RGPD tambi\u00e9n a las peque\u00f1as empresas?<\/h3>\n

S\u00ed, el RGPD es aplicable independientemente del tama\u00f1o de la empresa a toda organizaci\u00f3n que trate datos personales de ciudadanos de la UE. Las peque\u00f1as empresas se benefician de algunas excepciones limitadas (por ejemplo, no est\u00e1n obligadas a llevar un registro de actividades de tratamiento si cuentan con menos de 250 empleados y su tratamiento no entra\u00f1a riesgos significativos), pero deben cumplir todos los principios fundamentales.<\/p>\n

Art\u00edculos relacionados<\/h2>\n