El GDPR aumenta la exposición al riesgo para los proveedores de servicios cloud

  • Seguridad

Estas empresas deben entender hasta qué punto tienen ahora responsabilidad en el marco del GDPR y cómo pueden construir acuerdos contractuales viables y válidos.

Según una nueva investigación llevada a cabo por IDC, los proveedores de servicios cloud están en riesgo de subestimar el impacto de la nueva legislación de protección de datos en sus modelos de negocio. El Reglamento General de Protección de Datos (GDPR), que será de obligado cumplimiento a partir del 25 de mayo de 2018, introducirá cambios sustanciales en la forma en que se deben proteger los datos personales. Y a medida que las organizaciones se trasladan a la nube, tienen que asegurarse de que los proveedores de servicios entienden las nuevas obligaciones. Igualmente, éstos deben comprender hasta qué punto tienen ahora responsabilidad en el marco del GDPR y cómo pueden construir acuerdos contractuales viables y válidos, según la consultora.

¿Interesado en la GDPR? Puedes ver en este enlace el webinar en el que se analizan todos los pormenores de la nueva normativa. Además, puedes encontrar toda la información sobre qué es y que supone la nueva normativa de protección de datos en este enlace. 

Más sobre GDPR...

GDPR: ¿dónde están los datos a proteger? (Webinar) 

Tres mejores prácticas para reducir los riesgos del incumplimiento normativo

Ideas para cumplir con GDPR

Descubre la información para cumplir con GDPR

El coste de incumplir el gobierno de la información

“Los proveedores de servicios cloud deben actuar inmediatamente para considerar su posición con respecto al GDPR y revisar todos los sistemas y procesos antes de la fecha límite. GDPR significa un mayor riesgo y más costes para todo ellos, que tratan con datos personales”, asegura Duncan Brown, vicepresidente asociado de seguridad de IDC.

Según la consultora, la mayoría de estas compañías se verán afectadas por el GDPR, porque la definición de procesamiento es amplia e incluye simplemente almacenar datos personales. De forma similar, los datos personales también se definen ampliamente y en ellos se incluyen cualquier información que se relacione con un ser humano identificado o identificable. “Muchos proveedores cloud no son conscientes de estas definiciones de alcance amplio; y, por lo tanto, no están preparados para sus obligaciones con respecto al GDPR”, agrega Brown.

Por otro lado, el informe de IDC advierte de que los proveedores de servicios cloud que no estén ubicados en la UE también se verán afectados por el GDPR si están ofreciendo bienes o servicios a individuos basados ​​en la UE, ya sea directamente o a través de una organización de clientes como un minorista o proveedor SaaS. Es importante destacar que no importa si una de estas empresas sabe si sus clientes están utilizando su servicio para procesar datos personales. “La ignorancia no es una defensa”, puntualiza Brown.

Para terminar, IDC recomienda que estas compañías entiendan la cadena de suministro de la nube y lleven a cabo la debida diligencia en los subprocesadores. Las auditorías de los subprocesadores serán importantes, y estos proveedores también podrán comenzar a auditar a sus clientes para asegurarse de que los servicios cloud se usen de manera compatible.