RGPD impone una serie de pautas para ser cumplidas por cualquier proveedor de servicios en la Nube que almacene datos.
La norma no es una declaración de intenciones, ni un texto jurídico anexo a un determinado proveedor o servicio.
Hay ciertas obligaciones que debe cumplir el proveedor y que son fácilmente verificables para una empresa que quiera contratar un servicio que cumpla realmente RGP.
1) Firma del contrato RGPD
El proveedor debe formalizar y firmar el contrato de tratamiento por parte de terceros que exige la ley.
El contrato de “Tratamiento por parte de terceros” es obligatorio. Este contrato ha de ser firmado por ambas partes.
Un contrato no es una casilla de verificación o aceptación en la que se hace click. El documento debe estar en posesión de ambas partes con firma legal, ya sea digital o manuscrita.
Cualquier empresa, organización o institución que contrate un servicio en la Nube debería tener guardado un contrato de este tipo.
Este contrato oficializa el uso de la plataforma y lo hace legal en RGPD. La propia empresa que contrata el servicio en la Nube, determina su propio cumplimiento RGPD con la posesión de estos contratos realizados con terceros.
En Dataprius firmamos los contratos en formato PDF y todos los clientes tienen su copia. Incluso publicamos las condiciones según ley del contrato a firmar, lo hacemos de forma pública en nuestra web: https://dataprius.com/proteccion-de-datos-contratos
2) Documento de Seguridad de la empresa proveedora
El proveedor debe disponer de un Documento de Seguridad dónde se describen las infraestructuras y medidas que adopta.
Este es el llamado Documento de Seguridad RGPD. En él, de manera genérica, el proveedor describe sus infraestructuras y metodología.
El proveedor está obligado a proporcionar información sobre la seguridad de su servicio, haciéndolo accesible o publicando este documento.
Es muy importante que incluya cómo se realiza el cifrado de las comunicaciones y de la información almacenada. Si existen archivos, estos deben guardarse de forma encriptada, es lo que se conoce como cifrado en reposo.
A este respecto Dataprius publica el documento en su web: https://dataprius.com/dataprius-descripcion-de-seguridad-del-sistema
3) Declaración del uso de infraestructuras y servicios de terceros
El proveedor debe declarar públicamente sus proveedores y la ubicación de los servidores de almacenamiento de datos. Debe disponer de una lista actualizada.
Los proveedores de la Nube utilizan servicios de otras empresas. Estos servicios pueden consistir en infraestructuras o software específico que realiza ciertas funcionalidades.
RGPD obliga a los proveedores a mantener esta lista actualizada de sus proveedores y hacerla pública. Se ha de ser totalmente transparente con los lugares de almacenamiento final de los datos y de los archivos. Cualquiera debería conocer con facilidad dónde terminarán sus datos almacenados o por qué lugares pasarán.
La lista de los proveedores Cloud de Dataprius se publica en su Web: https://dataprius.com/dataprius-proveedores
4) Cumplimiento RGPD. Mantenimiento de un registro de seguridad
El proveedor debe disponer de algún tipo de registro dónde se anoten las incidencias o cualquier información relevante para la seguridad del sistema.
Hay diversas formas de mantener un registro de este tipo. En cualquier caso debe ser un complemento a la trazabilidad de las acciones sobre los datos.
La trazabilidad consiste en registrar los accesos a la información y las operaciones realizadas teniendo en cuenta el personal que accede. Considerando el flujo de entradas y salidas de los documentos o datos.
Como no estamos hablando de soportes físicos y un sistema en la Nube es muy dinámico es necesario que el propio sistema registre la actividad. Esto se materializa normalmente en un registro de actividad o en historiales. Se anota quién accede a que, en que momento y las operaciones realizadas.
En el registro de seguridad al que obliga RGPD es obligatorio anotar las incidencias detectadas y las medidas adoptadas para la subsanación.
En Dataprius el Registro de Seguridad está integrado en la aplicación de escritorio y está disponible para su supervisión por parte de la empresa y de los usuarios que tienen el rol de Administradores.
Las entradas del registro de Dataprius pueden ser introducidas por los responsables del sistema o automáticamente ante ciertos cambios, por ejemplo: se registran los intentos de entrada con claves incorrectas, los cambios de credenciales, etc.
La entrada Como saber si RGPD es realmente cumplido por un proveedor en Cloud se publicó primero en Blog de Dataprius..