¿GDPR? Mejor en Cloud.

Quedan tres meses para que entre en vigor el Reglamento General de Protección de Datos (GDPR). A partir del 25 de mayo esta será la normativa de protección de datos de obligado cumplimiento que sustituirá a la LOPD.

La adaptación en España parece que va muy lenta. Según un estudio de IDC sólo un 10% de las empresas españolas están preparadas, una cifra muy alejada del grado de adopción en otros países europeos como Alemania (26%), Reino Unido (24%) e Italia (20%).

Los principales obstáculos que se han encontrado para su adopción en la empresa española son: conflictos de prioridades, falta de presupuesto, limitaciones de recursos y desconocimiento de la normativa.

El estudio refleja que una de las principales dudas que tienen las empresas es cómo va a afectar GDPR a cloud. Por eso, veamos cómo están los principales proveedores cloud de cara al cumplimiento de GDPR.

SPOILER para impacientes: han llegado mucho antes y mejor que en normativas anteriores.

AWS

Los servicios de Amazon Web Services cumplirán con el GDPR cuando entre en vigor el 25 de mayo de 2018. AWS mantiene continuamente unos altos niveles de seguridad y cumplimiento a lo largo de todas sus regiones alrededor del mundo.

La arquitectura de su infraestructura cloud ha sido diseñada para ofrecer un entorno potente, flexible y totalmente seguro.

Su Data Processing Agreement (DPA) fue actualizado en abril de 2017 para incluir GDPR. Han desplegado equipos formados por expertos en cumplimiento, especialistas en protección de datos y expertos en seguridad para trabajar con los clientes en Europa, dar respuesta a sus dudas y ayudarles a preparar sus entornos.

También suscribieron el Código de Conducta CISPE para garantizar a sus clientes cloud que están utilizando los estándares de protección de datos apropiados para proteger sus datos de forma consistente con GDPR.

AWS cuenta con un gran número de certificaciones y acreditaciones internacionalmente reconocidas: ISO 27017 para seguridad cloud, ISO 27018 para privacidad cloud, PCI DSS Level 1, and SOC 1, SOC 2, and SOC 3.

Además de su propio cumplimiento, AWS pone a disposición de sus clientes servicios y recursos para ayudarles a cumplir los requisitos del GDPR que puedan aplicarse a sus actividades. Podrás encontrar más información aquí.

Google Cloud Platform

En Google saben que prepararse para este cambio regulatorio es una prioridad para millones de organizaciones que confían en sus servicios cloud. Por ello, se adecuaron con meses de antelación y, en octubre del año pasado, desplegaron los términos de seguridad y procesado de datos para Google Cloud Platform actualizados para reflejar GDPR.

Los datos son clave para las empresas y, por ello, en GCP se comprometen a que sus clientes puedan controlarlos en todo momento y decidir qué información se comparte y cuál no.

Google cuenta con algunos de los mayores expertos del mundo en materia de seguridad de la información, de aplicaciones y de redes. Los contratos de tratamiento de datos de Google Cloud Platform exponen con claridad su compromiso con la privacidad de los clientes.

La infraestructura global de Google está diseñada para ofrecer una seguridad total de los servicios durante todo el ciclo de tratamiento de la información.

Los estándares y certificaciones que ostenta GCP son: ISO 27001 (gestión de la seguridad de la información), ISO 27017 (seguridad en la nube), ISO 27018 (privacidad en la nube), SSAE16/ISAE 3402 (SOC 2/3),

Google cumple GDPR y está ayudando a sus clientes en su camino hacia el cumplimiento. Toda la información en relación a Google Cloud y GDPR está disponible en su website.

Red Hat

Red Hat realizó una aproximación colaborativa e involucró a los stakeholders clave de su organización para prepararse para GDPR. Dieron pasos para llevar a cabo inventarios de datos detallados, implementaron procesos y realizaron mejoras diseñadas para cumplir con los diferentes requisitos de GDPR.

Por ejemplo, tomando medidas en los procesos relativos a los derechos de los datos, incluyendo cómo los individuos pueden obtener sus datos personales, realizar correcciones y solicitar su borrado.

Red Hat también ha llevado a cabo múltiples mejoras en su portfolio de productos para incluir las funcionalidades necesarias para hacer un manejo adecuado de los datos personales.

Además, son plenamente conscientes de que esta adecuación no es trabajo de un día y trabajan de forma continua para soportar la privacidad y seguridad de los datos personales que se le confían y ayudar a sus clientes a cumplir con la nueva normativa. Encontrarás mucha más información al respecto aquí.

En el estudio del que hablábamos al inicio, a pesar de las dudas sobre cómo iba a afectar GDPR a cloud, un 53% de las organizaciones pensaban apostar por la nube sin importarle el impacto que tuviera la nueva regulación.

Para la mayoría de las empresas no condiciona su estrategia cloud el hecho de tener que recopilar, almacenar o tratar los datos personales de acuerdo a GDPR. Tienen claro que no conlleva un mayor esfuerzo extra.

Pero además, como hemos visto, el uso de la nube no solo no es un obstáculo, sino que puede suponer una ayuda importante para la adecuación a GDPR.

Los principales proveedores cloud demuestran estar completamente preparados e incluso facilitan multitud de recursos para que sus clientes se pongan al día en el cumplimiento de la normativa.