04 de diciembre de 2018

Gustavo San Felipe (acens) le cuenta a Channel Partner cuáles son las obligaciones para el prestador de servicios con GDPR

Channel Partner ha elaborado el artículo ‘Las obligaciones para el prestador de servicios con GDPR’ tras realizar unas preguntas a Gustavo San Felipe (Responsable de seguridad corporativa en acens). A continuación te dejamos todas sus respuestas.  

 

-¿Hasta qué punto cree que las empresas españolas están cumpliendo con el GDPR?

Teniendo en cuenta el impacto mediático que ha tenido el GDPR podemos afirmar que las empresas españolas han sido conscientes de la existencia y plazos de aplicación de la nueva regulación, y de la necesidad de implantar un sistema de gestión con el que garantizar el cumplimiento en el tiempo.

En el sector de gran empresa y en aquellas que ya efectuaban un tratamiento de datos personales con cierto nivel de riesgo o por cuenta de terceros, de forma previa a la fecha de aplicación del GDPR se han acometido proyectos de adaptación partiendo de la experiencia en la gestión de datos personales en el ámbito de la LOPD.

La situación de partida es algo más desalentadora en el ámbito de la pequeña y mediana empresa, ya que de acuerdo a la encuesta sobre el conocimiento del GDPR elaborada por la Agencia de Protección de Datos y la Confederación Española de la Pequeña y Mediana Empresa, la nueva regulación era conocida por el 63% de las PYMES españolas, constatando la necesidad de realizar acciones de difusión en este ámbito. El estudio también revela que aquellas PYMES que si conocían la existencia del reglamento confirman en muchos casos que no han tenido los recursos suficientes para adaptarse al GDPR, incluso teniendo en cuenta la existencia y nivel de aceptación de la herramienta FACILITA, proporcionada por la AEPD, para realizar el análisis en los tratamientos de bajo riesgo típicos de este sector (principalmente gestión de clientes, proveedores y empleados).

Teniendo en cuenta el escenario anterior sería precipitado realizar una valoración sobre el éxito y el nivel de acierto en la planificación y priorización de acciones de los proyectos de adaptación, y por ende del nivel de cumplimiento en España. Al margen de los cambios en las cláusulas informativas y el ejercicio de derechos, hay que tener en cuenta que el GDPR deja en manos del responsable del fichero la realización del análisis de impacto, el análisis de riesgo y  la determinación e implantación de las medidas de seguridad apropiadas, y el mero hecho de abordar puntualmente un proyecto de adaptación no garantiza la eficacia de las medidas de seguridad que se determinen o sus efectos en la práctica sino se revisan y se mantienen en el tiempo.

Si nos ceñimos a los datos objetivos sobre incumplimiento o vulneración de los derechos del protagonista de esta historia (el interesado), la AEPD ha reconocido un aumento en el número de reclamaciones recibidas desde la aplicación del GDPR, lo cual preveían de acuerdo a su experiencia cuando hay cambios en la normativa y más en este caso con el ya mencionado impacto mediático a todos los niveles. No obstante, es todavía pronto para determinar si realmente se están incumpliendo los requisitos del reglamento o si se trata de reclamaciones que en la mayoría de los casos no proceden y son consecuencia del “efecto llamada”, máxime teniendo en cuenta que el legislador ya ha introducido matizaciones al respecto de la admisión a trámite de las reclamaciones interpuestas por los interesados en el Real Decreto-ley de medidas urgentes para la adaptación del derecho español al GDPR publicado a finales de julio.

 

 

-¿A qué está obligado un cliente que subcontrata el procesamiento de información protegida por el GDPR a un partner como acens?

En primer lugar conviene aclarar conceptos básicos con las definiciones del propio GDPR para determinar el papel del partner/proveedor de servicios y las responsabilidades de la empresa contratante. El GDPR define al “responsable del tratamiento”, o “responsable”, como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales. Cualquier empresa es responsable del tratamiento en aquellos casos en los que recopila y gestiona datos de carácter personal para el desempeño de su actividad (por ejemplo: proveedores, empleados, newsletters, personas de contacto en clientes, etc.), informando a los interesados sobre la finalidad y características de dicho tratamiento según su política de privacidad. La legislación contempla diversos aspectos de obligado cumplimiento para el responsable del tratamiento de datos de carácter personal (registro de actividades de tratamiento, información previa al interesado, derechos del interesado, obligaciones como responsable, notificación de violaciones de seguridad, análisis de impacto en privacidad, etc.), para más información se puede consultar la página web de la Agencia Española de Protección de Datos, y en particular las guías que publican con información para diferentes aspectos, por ejemplo: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

Centrándonos en el escenario de subcontratación, el cliente o responsable del tratamiento puede requerir el apoyo o los servicios de otras entidades (partners/proveedores), que, en el caso de acceder, gestionar o almacenar los datos personales de alguna forma, serían considerados “encargado del tratamiento” o “encargado”. En esos casos, la primera y principal obligación del responsable del tratamiento es la de de elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiados (Art. 28 – 1), de manera que el tratamiento sea conforme con los requisitos del GDPR y garantice la protección de los derechos del interesado. Se trata de una responsabilidad “in eligendo”, que se añade a la responsabilidad “in vigilando” ya atribuida al responsable del tratamiento de forma general con independencia de que subcontrate servicios con uno o varios encargados del tratamiento (el responsable del tratamiento debe garantizar y poder demostrar que el tratamiento es conforme con el GDPR). Otra obligación es que se regule el tratamiento de datos en un contrato de servicios, estipulando las obligaciones para el proveedor o encargado del tratamiento que comentaremos en la siguiente pregunta.

En el caso de acens, pasa a ser uno de los “encargados del tratamiento” desde el momento que se le contratan servicios con el objetivo de almacenar datos personales en su infraestructura, con independencia de que el cliente de acens sea el responsable del tratamiento (decide los fines y medios) o a su vez sea subcontratado por otro responsable. La ley permite la cadena de subcontratación siempre que se autorice y se comunique de forma transparente al interesado, siendo otra de las obligaciones principal que debe tener en cuenta un cliente a la hora de subcontratar el procesamiento de información protegida por el GDPR a un partner como acens.

 

 

-Y, por el contrario, ¿a qué está obligado ese partner, como acens o cualquier ISP, que da servicios de nube pública?

Las obligaciones del proveedor se corresponden con las estipulaciones que se deben incluir en el contrato de servicios con el cliente de acuerdo al GDPR:

  1. Seguir las instrucciones documentadas del cliente, por supuesto en función del alcance de los servicios contratados. Es importante advertir que el proveedor tiene la obligación de informar inmediatamente al cliente si “en su opinión” una instrucción puede infringir el GDPR.
  2. Compromiso de confidencialidad de los empleados y colaboradores del proveedor.
  3. Implementar las medidas de seguridad necesarias. El reglamento menciona mecanismos y objetivos genéricos como son: Seudonimización y cifrado, garantizar confidencialidad-integridad-disponibilidad-resilencia, restaurar disponibilidad y acceso, y valoración de la eficacia de las medidas. El proveedor debe detallar que medidas están incluidas en su servicio y de qué forma se implementan, de tal forma que el cliente pueda determinar si son adecuadas para el tipo de tratamiento a realizar o si requiere servicios adicionales.
  4. Si a su vez el proveedor subcontrata a otro proveedor deberá comunicarlo al cliente, así como transmitir a al nuevo subcontratado las obligaciones que le corresponden. Atendiendo a las cláusulas tipo de los modelos de contrato proporcionados por la Agencia de Protección de datos no será necesaria esa comunicación para “los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado”, lo cual se puede interpretar como aquellos que no vayan a tener un tratamiento efectivo de los datos personales.
  5. Asistir al cliente para que pueda responder a las solicitudes de ejercicio de derechos por parte de los interesados, “teniendo cuenta la naturaleza del tratamiento” (el alcance de lo que haya contratado).
  6. Ayudar al cliente a cumplir con sus obligaciones en materia de: medidas de seguridad, notificación de incidentes (Nota: el proveedor debe comunicar inmediatamente cualquier incidencia, aportando la información que tenga en cada momento, de forma que el responsable pueda cumplir con el plazo de 72 horas en su notificación a la autoridad de control), realizar la evaluación de impacto, consultas previas a la agencia. De nuevo “teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado” (el alcance de lo que haya contratado).
  7. Suprimir o devolver los datos a fin de contrato.
  8. Poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento, permitiendo y colaborando en auditorías e inspecciones.

 

 

-En caso de conflicto, ¿hasta dónde llega la responsabilidad de la empresa que posee los datos y contrata el servicio, y cuál es la responsabilidad del prestador del servicio? Lo digo porque, por lo que tengo entendido, siempre el responsable último es la parte contratante y no el proveedor cloud.

La responsabilidad en caso de incumplimiento recae en primera instancia en el responsable del tratamiento, aquel que decide los fines y medios para el tratamiento de datos con independencia de que subcontrate servicios a terceras partes. El GDPR atribuye al responsable del tratamiento la obligación de garantizar y poder demostrar que el tratamiento de datos es conforme a la ley, en lo que se ha venido a denominar “principio de responsabilidad proactiva” que como comentamos anteriormente incluye la obligación de escoger proveedores adecuados y monitorizar su cumplimiento.

No obstante, lo anterior no implica que el proveedor, o encargado del tratamiento, esté libre de responsabilidades, teniendo en cuenta también que el GDPR detalla las obligaciones de esta figura más ampliamente que en el caso de la LOPD. De acuerdo al Real Decreto-ley 5/2018 de medidas urgentes para la adaptación al derecho español al GDPR, publicado en el BOE a finales de julio de 2018, los encargados del tratamiento son una de las figuras que están sujetos al régimen sancionador establecido en el reglamento.

Si el proveedor infringe el reglamento utilizando los datos personales para otros fines diferentes a los encargados por el cliente, será considerado a todos los efectos como “responsable del tratamiento” y podrá ser sancionado directamente por la autoridad de control.

Así mismo, el propio GDPR establece que en el caso que el proveedor subcontrate a otra empresa que incumpla sus obligaciones, será plenamente responsable ante el cliente por lo que respecta al cumplimiento de las obligaciones del otro encargado.

 

 

-¿Qué debe tener en cuenta una empresa a la hora de contratar servicios de cloud pública, sobre todo después de la entrada en vigor definitiva del GDPR, que eleva las exigencias en materia de protección de datos?

A la hora de subcontratar será necesario revisar el alcance de los servicios y su implicación en el tratamiento de datos personales, determinando si las medidas de seguridad y compromisos del proveedor son suficientes para el tipo de tratamiento efectuado.

Esta situación, en la que se atribuye al cliente la responsabilidad en la elección y control del proveedor, favorecerá la desaparición de los “contratos placebo” tan comúnmente utilizados para cumplimiento del reglamento de medidas de seguridad asociado a la LOPD, obligando al cliente a realizar una revisión más estricta con sus proveedores y acordar las medidas necesarias en cada caso en lugar de limitarse a tener un papel firmado. En este escenario el proveedor tiene que proporcionar información sobre como aborda su responsabilidad para cumplimiento RGPD más allá de una simple declaración de intenciones genérica, pero el cliente, o en última instancia el responsable del tratamiento, tendrá que validar que es acorde a lo que requiere en base a su análisis de impacto en cada tratamiento concreto.

Es importante también conocer el área geográfica en la que se realizará el tratamiento de datos por el proveedor o por las compañías que colabore y vayan a participar en ese tratamiento de datos. Se facilitará el cumplimiento si el territorio en el que se ubican estos proveedores ha sido declarado de nivel adecuado por la Comisión Europea, existiendo otros escenarios viables si existen garantías adecuadas, se recaba el consentimiento del interesado o de la propia autoridad de control en función del caso.

Al igual que en el caso de la información proporcionada al interesado sobre el tratamiento y sus derechos, el nuevo reglamento favorecerá la transparencia y comunicación entre cliente y proveedor, tanto en la descripción y alcance del servicio incluyendo las medidas de seguridad implantadas, como en la notificación de incidentes y de subcontrataciones a terceras partes.

 

 

-¿Qué está haciendo acens para posicionarse como proveedor seguro en un entorno donde las multas son más altas y los intervalos para reportar brechas se acortan?

Para garantizar el cumplimiento continuo de los requisitos del nuevo reglamento es necesario tener implantado un sistema de gestión. No basta un compromiso, sino que es necesario un seguimiento mediante un sistema con sus prácticas y controles durante todo el proceso del tratamiento de datos. En este sentido acens cuenta con un Sistema de Gestión de la Seguridad de la Información certificado y auditado por terceros desde hace más de 10 años. Estamos habituados a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan y cumpliendo con las obligaciones de colaboración estipuladas en la ley.

En materia de medidas de seguridad, y concretamente en lo relativo a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, acens proporciona en sus Data Centers las medidas de seguridad física habituales en este tipo de instalaciones (Control de acceso, vigilancia 7×24, acceso biométrico, CCTV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, etc.). Los Centros de Proceso de Datos donde se alberga la infraestructura que presta el servicio están equipadas con control de acceso y sistemas de monitorización y control para garantizar que únicamente accede a las mismas el personal autorizado. El control de acceso físico dispone de un registro que permitirá determinar el usuario que accedió en un determinado momento a las dependencias. Así mismo, esos Centros de Proceso de Datos cuentan con sistemas de gestión ambiental (temperatura y humedad), y sistemas de alimentación ininterrumpida, contando con sistemas de detección y extinción de incendios. Las plataformas de servicios gestionadas por acens para la prestación de los servicios de hosting compartido y Cloud Público cuentan con sistemas de redundancia local para el hardware. Las plataformas dedicadas y de Cloud Privado proporcionan los mecanismos de redundancia especificados en la oferta de servicios particular para el cliente. El personal de administración y operación de sistemas de acens ha formalizado su compromiso de confidencialidad y recibido la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponiendo de las normas y procedimientos para la realización de las mismas. Estas funciones no incluirán las relativas a la administración y gestión que, según las condiciones y alcance de los servicios contratados, deba realizar el cliente.

acens mantiene una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, existiendo un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantiza su confidencialidad e integridad, implantando mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se gestiona el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por acens. La gestión de contraseñas no incluye aquellas proporcionadas al cliente para el acceso al servicio, cuyo mantenimiento y control será responsabilidad del cliente según lo estipulado en las condiciones del servicio contratado, así como las relativas a aplicaciones propietarias instaladas por el cliente.

Los empleados de acens tienen acceso únicamente a los recursos necesarios para el desempeño de sus funciones de administración y operación. El cliente tendrá la responsabilidad de establecer los mecanismos de control de acceso necesarios con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones del servicio contratado, así como los relativos a aplicaciones propietarias instaladas por el cliente.

acens realiza la gestión e inventario de los soportes entregados por el cliente o resultantes de la realización de copias de respaldo. Asimismo, acens tiene implantadas medidas para la destrucción y desecho de soportes. La salida de estos soportes fuera de los locales de acens se realiza siempre y cuando exista autorización previa del cliente. El cliente será responsable de la información que, obtenida a través de la red con acceso autorizado, sea almacenada en soportes propios.

El cliente tendrá la responsabilidad de establecer los mecanismos de registro de acceso necesarios en las aplicaciones, con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones acordadas, así como los relativos a aplicaciones propietarias instaladas por el cliente.

acens efectúa una monitorización 7×24 de los sistemas internos y plataformas de servicios gestionadas por acens, escalando las incidencias que afecten al rendimiento y disponibilidad a los administradores de cada entorno. En los sistemas del cliente dependerá de la modalidad de monitorización contratada.

En relación a la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, acens realiza copias de seguridad de la información del cliente según el modelo de servicio de Backup contratado, cuota y planificación.

acens realiza operaciones de control general para verificar el correcto funcionamiento la plataforma que proporciona el servicio de backup. Es responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes. Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente (autoservicio – autoconfiguración), es responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida. acens puede también proporcionar bajo demanda redundancia geográfica en las copias de seguridad, para su uso en caso de desastre en la ubicación principal.

Para proporcionar un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, acens mantiene sendos Sistemas de Gestion de Seguridad y Calidad basados en norma ISO 27001 e ISO 9001, que contemplan la verificación, evaluación y valoración de las medidas técnicas y organizativas aplicadas, cubriendo entre otras cuestiones el seguimiento en el tiempo de la gestión de cumplimiento de RGPD de acuerdo a las categorías de tratamientos efectuados para sus clientes. acens proporciona los datos necesarios a los clientes para la realización de auditorías por parte del personal propio del cliente o por un tercero, siempre y cuando tengan relación con los trabajos o servicios encargados y con los tratamientos de datos personales que el cliente realiza en infraestructura de acens.

Para proporcionar el cifrado de datos acens posibilita la contratación de certificados digitales. Así mismo, el acceso a los interfaces de gestión se realiza de forma cifrada.

La seudonimización se puede realizar por el cliente a nivel de aplicación. En este sentido se recomienda la lectura de la guía Orientaciones y garantías en los procedimientos de anonimización de datos personales desarrollada por la Agencia Española de Protección de Datos.

Con las medidas de seguridad anteriores acens proporciona la base para mantener controlados los datos albergados en su infraestructura, pudiendo el cliente ocuparse de su negocio y sus aplicaciones específicas sin dejar de tener presente los derechos de los interesados y las buenas prácticas en el uso de datos personales que efectúe por su parte o que subcontrata a otros terceros.

Respecto a la notificación de incidentes es algo integrado en el sistema de gestión de acens y comunicaciones a clientes, previamente al GDPR ya existía la obligación para los proveedores de servicios de comunicaciones electrónicas de notificar a la Agencia de Protección de Datos incidentes de seguridad relativos al tratamiento de datos personales, por lo que en éste ámbito no es algo nuevo para los responsables de seguridad de compañías como acens que prestan servicios regulados por la Ley General de Telecomunicaciones, y mucho menos si en la política del proveedor se contempla la detección y comunicación proactiva a sus clientes de fallos de seguridad o anomalías en los sistemas y aplicaciones aunque no sean responsabilidad directa del proveedor. Esa obligación se ha reforzado y revisado con la aplicación del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información que traspone al ordenamiento jurídico español la directiva europea NIS sobre ciberseguridad, que ha sido publicado este mismo mes de septiembre y ya está en vigor.

En definitiva, consideramos que acens proporciona a sus clientes la información adecuada y una infraestructura sólida, segura, identificada y controlada, así como una vía de atención para la resolución de consultas e incidencias, incluyendo la gestión de los posibles incidentes en materia de seguridad y la información necesaria para cumplimiento de las obligaciones legales como las desarrolladas en el GDPR.

 

 



Entradas relacionadas


  1. Gustavo San Felipe (acens) le cuenta a El País cómo aplicar el RGPD
  2. Innova+ (Vocento) visita el corazón de los datos de acens para hablar del RGPD
  3. ‘El partner pide paso en el escenario multicloud’, artículo de Channel Partner con la colaboración de Jordi Campillo (acens)
  4. El Foro de Seguridad de Movistar indica las obligaciones del nuevo RGPD

Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!

Logotipo de acenews

Leer condiciones

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Leer condiciones

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.