Norma ISO 27018, el RGPD y su impacto en los servicios prestados en la Nube

rgpd_iso_nubeLa entrada en vigor del RGDP – Reglamento de Protección de Datos ha dado un impulso a la contratación de los servicios en la nube de las empresas, dado que de este modo, toda la actividad alrededor de la seguridad y la protección de datos queda derivada en el PSN – Proveedor de Servicio en la Nube (CSP – Cloud Services Provider), esta visión también es compartida por aquellas empresas quienes ya tienen contratados los servicios de aplicativos y datos en la nube.

El hecho de que las actividades de seguridad y la protección de datos sean realizadas por el proveedor de servicio, por derivación del servicio al mismo, esto no quiere decir que las empresas como propietarias de los datos que se gestionan quede exenta de responsabilidades acerca de estas actividades, de su seguridad, de cómo y dónde se estánmanejando los datos de la empresa, nada más lejos de la realidad, de hecho, la empresa se tiene que comportar del mismo modo que se comportaría si el servicio fuese llevado a cabo por un departamento interno de Sistemas IT de la propia empresa, aL cual, la Dirección o la Administración de la empresa exigiese al responsable del departamento de Sistemas IT que ha de cumplir la normativa vigente de RGDP y los preceptos de seguridad asociados a la protección de los datos.

Responsabilidades en la Nube

 Ante esta situación, la empresa que contrata servicios en la nube ha de plantear al Proveedor de Servicios en la Nube las cuestiones clave para garantizar que el servicio se está llevando a cabo con todas las garantías y cumplimientos normativos necesarios.

Modelo de Normas ISO para los Servicios de Proveedores TIC

Cuadro Normas ISO para servicios TIC

Cuadro normativo de responsabilidades temáticas en relación a la prestación de servicios en la nube:

Normas Servicio en Nube

A nivel normativo, la norma ISO 27017 incorpora controles de seguridad de la información almacenada en la nube pero la norma ISO 27018 establece los “Controles para la protección de la información para servicios públicos en la nube” y se centra principalmente en este foco, por lo que la ISO 27018 puede considerarse tanto un estándar como un código de Buenas Prácticas aplicable por el proveedor de servicios en la nube.

En el Anexo A de la norma ISO 27018 se enumeran los controles adicionales a la norma ISO 27001 que deben ser implementados para incrementar el nivel de protección de los datos de carácter personal, estos controles ya son preceptivos para el Proveedor de Servicio en la Nube.

En síntesis, la norma ISO 27018 establece:

  • El proveedor es el responsable del tratamiento de la información, por lo que ha de proporcionar los medios adecuados para permitir y facilitar el ejercicio de los derechos de los interesados en relación a todo lo relativo con el tratamiento de los datos.
  • El proveedor de velar porque los datos únicamente sean tratados para los fines definidos específicamente y explícitamente expresados en la contratación del servicio.
  • No se realizará divulgación de datos personales, a excepción de aquellas peticiones establecidas por la ley para las autoridades administrativas y judiciales, en cuyo caso, serán inmediatamente comunicadas al cliente del servicio contratado.
  • El cliente tiene derecho a conocer, previa o durante la contratación del servicio la cadena de subcontratación que subyace en la prestación de los servicios, localizaciones de los CPD – Centro de Procesamiento de Datos, de los servidores que prestan los servicios, normativas y obligaciones que cumplen a la hora de prestar el servicio.
  • Reconocer el derecho de cliente a oponerse a eventuales cambios de cadena de subcontratistas y, en caso de no acuerdo, poder rescindir el contrato por este motivo sin ninguna limitación, contraprestación o penalización por ello, garantizando la portabilidad y transferencia de los datos.
  • El proveedor se ha de obligar a notificar inmediatamente cualquier violación, incidente o problema en relación con los datos personales que pudieren derivar o suponer una posible pérdida, destrucción, alteración, divulgación o acceso no autorizado a los datos, de tal modo, que el cliente responsable de los datos pueda cumplir los plazos establecidos (en el caso del RGPD es de 72 horas) para realizar la debida notificación a las autoridades de control (en el caso de la RGPD en España sería la AEPD).

Llegado a este punto, si el Proveedor de Servicios en la Nube se encarga de todos los aspectos técnicos asociados a la seguridad, la privacidad y la protección de los datos personales……

¿Qué debe hacer el responsable de los datos (el cliente del servicio en la nube)?

El responsable de los datos que son tratados por un servicio en la nube ha de regular y establecer los términos de la relación entre el responsable de los datos (él mismo) y el encargado del tratamiento por medio de un contrato o de un acto jurídico similar que los vincule, siendo importante que conste todo por escrito y firmado (se acepta la versión electrónica del documento).

Los términos mínimos recomendados a regular en este contrato o acuerdo escrito serían:

  1. El encargado del tratamiento debe cumplir con los preceptos del RGPD  en el tratamiento de la información y en el caso de que la transferencia de datos o tratamiento se realice fuera de la Unión Europea, el proveedor debe garantizar que se cumplen las garantías técnicas y de seguridad, así como los derechos y las acciones legales que amparan a los clientes en el ámbito del RGPD.
  2. En el supuesto  de que por parte del responsable de los datos existe un Delegado de Protección de Datos o cargo con estas responsabilidades, el encargado del tratamiento debe garantizar el acceso a la información del servicio y a los datos tratados.
  3. En relación a la seguridad de los datos, el responsable de los ratos debe realizar la evaluación de los riesgos para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. El encargado del tratamiento ha de evaluar los riesgos derivados del tratamiento de la información y de la prestación del servicio y garantizar la seguridad del tratamiento. En el acuerdo o contrato debe quedar claramente establecida la obligación del encargado del tratamiento de adoptar y asegurar el cumplimiento de las medidas de seguridad en el tratamiento conforme a lo establecido en el art. 32 del RGPD.
  4. En relación con la subcontratación de servicios por parte del encargado del mismo, en base al RGPD, se ha de exigir la autorización previa por escrito proporcionada por el responsable del servicio para que el encargado del mismo pueda realizar una subcontratación, siempre que suponga el tratamiento de datos personales. El subcontratado hereda y comparte con el encargado todas las responsabilidades inherentes a la prestación del servicio.
  5. Debe existir un plazo para que el responsable pueda manifestar su oposición y, en caso de no llegarse a acuerdo, se ha de poder rescindir el contrato sin ningún tipo de penalización, demora o restricción garantizándose, al mismo tiempo, la colaboración y la transferencia de los datos al nuevo encargado de la prestación del servicio que designe el responsable de los datos.
  6. Se ha de garantizar por parte del encargado del tratamiento de los datos, en todo el momento, el soporte al responsable de los datos el ejercicio de los derechos de los interesados establecidos en el Capítulo III, art. 12 al art. 23 del RGPD, así como permitir que el responsable del tratamiento pueda cumplir los plazos establecidos para responder a las solicitudes de los interesados.
  7. El encargado del tratamiento ha de garantizar la existencia de acuerdos de confidencialidad por escrito con las personas autorizadas del tratamiento de la información o subcontratados así como garantizar que ha recibido la formación adecuada en relación los obligaciones  que conlleva la prestación del servicio, a las medidas de seguridad a cumplir y en materia de protección de datos.
  8. Se ha de establecer la forma en que el encargado de tratamiento va colaborar con el responsable en temas concretos como son: la aplicación de medidas de seguridad, notificación a las Autoridades competentes en relación a los incidentes de violaciones de datos, realización de evaluaciones de impacto.
  9. En relación a la finalización del servicio, se ha de establecer cuál es el destino (devolución o transferencia) o final  (supresión o borrado de los datos en poder del encargado del tratamiento  y en qué términos máximo se ha de llevar a cabo.
  10. En relación al cumplimiento normativo, se ha de establecer la obligación del encargado del tratamiento de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, así como permitir la realización de auditorías o inspecciones por parte o en nombre del responsable. Así como, ante un incidente de seguridad, preservar y proporcionar toda la información necesaria (ficheros de traza, logs, datos, registros, etc., …) que permita por parte del responsable realizar una investigación para determinar las posibles las causas, debilidades o vulnerabilidades, etc., que han propiciado el incidente.

Este último punto del contrato es especialmente significativo para, ante u incidente de seguridad, poder depurar responsabilidades, realizando una investigación pericial y llegado el caso poder solicitar daños y perjuicios al encargado del tratamiento en el supuesto que se llegase a demostrar falta de profesionalidad y mala praxis, desidia, incumplimiento de obligaciones, etc.   

 

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Buenas Prácticas, Estándares y normas, LOPD, Seguridad Informática, Todos y etiquetada , , , , , , , , . Guarda el enlace permanente.