MADRID, 23 Feb. (Portaltic/EP) -
Los proveedores de servicios 'cloud' deberán demostrar experiencia en el desarrollo, mantenimiento y mejora continua de procesos, e implementar de forma eficiente la normativa establecida por el Reglamento General de Protección de Datos (GDPR), según ha defendido el operador de redes Interoute.
A menos de cien días para el 25 de mayo, fecha en la que el Reglamento GDPR entrará en vigor, Interoute ha ofrecido una serie de consejos a la hora de contratar los servicios de un proveedor de servicios 'cloud' (CSP) externo. Un estudio reciente de la compañía mostró que las empresas tienen previsto trasladar a la nube un 46% de media de su infraestructura a lo largo de los próximos seis meses. Otra investigación de Interoute reveló que el GDPR es un factor clave para el 35% de empresas europeas en lo relativo a la infraestructura de la nube.
El operador de redes ha explicado en un comunicado que ante la inminente llegada de la nueva normativa, "muchas organizaciones" podrían verse expuestas si su CSP "no está a la altura". Para ello, ha aportado una lista de consejos sobre cómo proceder en este escenario, defendiendo que externalizar "completamente" en el proveedor de TI el riesgo asociado al GDPR puede dar lugar "a negociaciones largas y complejas".
ASUMIR LA RESPONSABILIDAD
Además, para poder dar cumplimiento a los dictados de la nueva normativa, es "fundamental" para Interoute que las empresas comprendan sus flujos de datos, garanticen que todos los que toman las decisiones conozcan la nueva reglamentación, y sepan qué es necesario para garantizar el necesario cumplimiento del Reglamento GDPR.
Por ello, el "auténtico" desafío al que se enfrentan las organizaciones radica en "conocer bien" su inventario de datos y entender por dónde circulan estos, lo que puede acarrerar "especiales dificultades" para aquellas empresas en cuya filosofía tradicional los datos nunca se han considerado un factor prioritario. Estas compañías deberán determinar dónde se almacenan los datos personales y quién los administra, así como las reglas de privacidad aplicables en cada caso, según Interoute.
QUÉ SE DEBE HACER AL VALORAR UN CSP
Para Interoute, gran parte del riesgo subyacente al Reglamento General de Protección de Datos tiene que ver con la forma en que las organizaciones utilizan la nube. Las compañías deben trabajar "con proveedores de confianza" que tengan establecidos e integrados en su operativa "estrictos controles de seguridad y requisitos de privacidad".
La compañía ha defendido que, a falta de unos criterios de acreditación oficiales, las organizaciones necesitan acometer "una exhaustiva auditoría o evaluación previa" de las competencias de su proveedor 'cloud' para verificar su grado de cumplimiento del GDPR. Aunque las evaluaciones realizadas por terceros pueden servir de referencia, "no son garantía absoluta", ya que los clientes deben considerar otros factores, como las acreditaciones de seguridad relevantes, el lugar donde se almacenan los datos, las relaciones con los organismos competentes del sector y los códigos de conducta.
Según Interoute, los productos que se anuncian como preparados para el GDPR pueden inspirar confianza, pero cumplir la normativa en un momento determinado "no basta". Para el operador de red, los proveedores 'cloud' deben tener "experiencia en el desarrollo, mantenimiento y mejora continua" de los procesos necesarios para llevar a cabo actividades a gran escala, e implementar "de manera eficiente y rentable" los regímenes de seguridad y cumplimiento normativos que el GDPR exige a los procesadores de datos.
Interoute también ha defendido que los proveedores que llevan "mucho tiempo" custodiando los datos de sus clientes están "mejor posicionados" para comprender y abordar los desafíos técnicos y organizativos asociados a la protección de esta información, y pueden reaccionar "con más eficacia" ante cualquier violación de la normativa.
Las organizaciones también deben preguntar cuántos empleados del proveedor han obtenido acreditaciones de cumplimiento de estos estándares. Este aspecto, junto con la buena reputación y la pertenencia y participación activa en los organismos competentes dentro del sector, será "la prueba más clara" de que el proveedor se toma en serio el cumplimiento del GDPR, según Interoute.
Por último, la compañía ha explicado que el cumplimiento permanente del RGPD "es un proceso continuo". A juicio de Interoute, las empresas "deben trabajar con asesores y socios de confianza" si quieren tener la certeza de que van a estar preparados para superar los obstáculos que el GDPR va a suponer para sus negocios.
