Voy a llevar los datos de mi empresa a la nube, ¿qué debo tener en cuenta para cumplir con el RGPD?

Muchas empresas están en pleno proceso de digitalización. Y uno de sus grandes retos hoy en día consiste en facilitar el trabajo desde cualquier lugar y dispositivo, simplemente con tener conexión a Internet. La nube es el modelo que muchos adoptarán. Y es necesario tener en cuenta una serie de cuestiones básicas si tratamos datos personales, algo habitual cualquier compañía, si llevamos los datos de la empresa a la nube y queremos cumplir con el RGPD.

Y esto también afectaría al caso de llevar una copia de seguridad a la nube, una alternativa interesante para tener una copia para mantener los datos fuera de la empresa y utilizarla en caso de desastre mayor, como puede ser un incendio, en nuestras oficinas, por ejemplo.

¿Dónde está ubicado el centro de datos que guarda nuestra información?

Siempre que utilizamos aplicaciones en la nube, que guardamos datos fuera de la empresa tenemos que tener muy presente que la nube no es algo etéreo. Simplemente es un gran centro de datos que almacena los nuestros y los de muchas empresas más. Y además en algunas ocasiones pueden estar replicados en otros centros alternativos para garantizar la seguridad de los mismos.

¿Por qué es importante la ubicación? Simplemente por un tema legislativo. Sabemos que si el centro de datos está ubicado en la UE está obligado a cumplir con la reglamentación del Reglamento General de Protección de Datos. El RGPD hace responsable de las violaciones de seguridad de los datos personales no solo a la empresa que los recoge, sino también a cualquier tercero que los procese en nombre de ella, ya sea otra empresa, un organismo o una persona física.

Por ejemplo, un caso muy común es guardar información en Google Drive, donde podemos tener datos personales de clientes o almacenar un imagen de su DNI que nos ha enviado, ¿sabemos donde se ubican dichos datos? En la mayoría de los casos las empresas no lo tienen claro. De hecho Google no garantiza a determinadas versiones de su producto, no en las gratuitas, incluso en aquellas que sean de pago que sus servidores están dentro de la UE y es algo imprescindible si queremos cumplir con el RGPD.

Pero también el acceso a la información en la nube tiene que cumplir con determinadas condiciones. No basta con tener un usuario y contraseña para acceder, es necesario garantizar que hay una trazabilidad de los datos, quién los ha consultado, si se han descargado o no, etc. Por eso es imprescindible que se cuente con herramientas de control sobre los mismos que nos permitan realizar dicho informe.

Especialmente importante es en aquellas aplicaciones que sincronizan la información. Datos de clientes, información sensible que por comodidad, por facilidad de uso, se acaba compartiendo a través de discos duros virtuales como Drive, Dropbox o OneDrive, por poner varios ejemplos, que utilizamos con cuentas gratuitas y no tenemos control sobre dichos datos.

Este tipo de cuestiones suele estar bien controlada en empresas medianas, que tienen administradores de sistemas y un departamento informático que se ocupa de estas cuestiones, pero no tanto en las más pequeñas, que o no tienen o simplemente por comodidad trabajan como lo harían a título privado, sin tener en cuenta que como empresas tienen una serie de obligaciones en el tratamiento de datos de sus clientes, empleados, etc.

Lo ideal es que como mínimo sea la empresa que nos asiste con la protección de datos la que nos indique qué riesgos corremos, qué criterios tenemos que cumplir si queremos llevar información a la nube o qué consecuencias puede tener hacerlo de forma incorrecta.