UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

Am i a data controller or data processor

UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

La Regulación General de Protección de Datos (GDPR) entró en vigencia el 25 de mayo de 2018. Particularmente, la RGPD les da a los individuos más control sobre su información personal, y requiere que las compañías sean claras sobre porque recolectan información. Bajo la RGPD, las corporaciones que acceden a información de clientes son definidas como controladores y/o procesadores. Cualquier corporación que haga negocios dentro de la UE o con ciudadanos o residentes de la UE deben cumplir con la RGPD, aun si está radicada fuera de Europa.

¿Cuál es la relación entre controladores y procesadores?

El controlador es la persona, compañía o agencia que determina que información será recolectada, de quien y para qué fin. El controlador También determina donde y como se almacena la información personal. El procesador es la persona compañía o agencia que procesa información en nombre del controlador. En efecto: el controlador busca almacenamiento de datos, y el procesador provee el almacenamiento. Pero ambos están sujetos a las normativas de la RGPD.
En la mayoría de los casos, los controladores cargaran datos a un procesador. A su vez el procesador, procesara dicha información y la almacenara en la nube. Pero, ya que el controlador retiene el control sobre la información, la confianza en el procesador es esencial.

He aquí algunas preguntas a considerar:

  • ¿Sabe Usted donde están localizados los servidores del procesador?
  • ¿Cumple su procesador con la RGPD?
  • ¿Son sus procesos en la nube seguros? ¿Pueden probarlo con auditorias hechas por terceros?
  • ¿Su procesador está certificado por WebTrust? ¿Cumple con la normativa SOC 2?

Los controladores también deben ser claros acerca de las políticas de retención de datos. Los individuos deben saber durante cuánto tiempo su información será almacenada, y la información no puede ser retenida más de lo necesario. Al finalizar dicho periodo, toda la información debe ser destruida. Los procesadores que almacenan datos en múltiples sistemas deben tener procedimientos establecidos para asegurar que los datos puedan ser eliminados.
Como procesador de datos, Echoworx solo entrega emails a usuarios finales. Almacenamos todos los emails de forma encriptada, y los eliminamos inmediatamente. Cumplimos totalmente con la RGPD.

¿Qué significa esto para mí?

Existen muchas instancias donde las organizaciones pueden encontrar puntos de contacto en la relación controlador/procesador. Las actividades bancarias, por ejemplo: Usted puede ser un gran banco que simplemente tiene demasiados clientes para proveer encriptación de datos confiable y efectiva de forma local. Su banco firma un acuerdo contractual con un tercero que se encargue de encriptar y enviar grandes volúmenes de informes financieros. Ya que Usted retiene el control sobre el contacto con el cliente y los detalles de los informes, su rol en esta relación es el de un controlador de datos – en cambio la plataforma de encriptación del tercer, que procesa los datos para un tránsito seguro, es el procesador de datos.

En última instancia, Usted es responsable por garantizar la seguridad de los detalles confidenciales del cliente – desde algo simple como su dirección hasta algo más complejo como su historial financiero. Y, bajo normativas como la RGPD, e incluso nuevas regulaciones, como la AB 375 de California, Usted también es responsable de garantizar que los terceros que actúen como sus procesadores se atengan a sus estándares de seguridad.
Para ayudar a establecer un punto de partida sobre lo que es necesario, Usted tal vez quiera considerar invertir en una auditoria de ciberseguridad llevada a cabo por un tercero – he aquí lo que necesita saber.

El Foro de Intercambio de Liderazgo en Ciberseguridad (CLX Forum) provee conocimiento adicional

Una discusión sustancial sobre la RGPD y sus implicaciones se dio en CLX Forum, una comunidad de pensadores lideres canadiense, en su libro Ciberseguridad Canadiense 2018: una Antología de las Perspectivas a nivel Empresa de los CIO/CISO. Entre muchas observaciones interesantes, Edward Kiledjian, VP de Seguridad de la Información, Conformidad y CISO en OpenText, analiza la cuestión de quien es propietario de la información personal. Mientras que esto aún debe ser definido en Norte América, la RGPD es clara en tanto que, en Europa, los ciudadanos son ahora dueños de su información. En cualquier momento, un ciudadano de la UE puede revocar el derecho de una organización de almacenar sus datos personales. Y si un ciudadano de la UE le pide a una organización que destruya sus datos, la organización debe hacerlo dentro del mes siguiente. También es importante notar que la información recolectada previamente no está exenta de estas normativas. Si su organización ha recolectado datos de residentes de la UE en el pasado, los controladores deben obtener consentimiento para el uso actual de esa información. [1]
Otro aspecto importante de la RGPD es que su agencia reguladora evalúa activamente la seguridad. Como parte de este proceso, también mide como responden las compañías a los ataques. Como lo indica Amir Belkhelladi, Socio y Asesor de Riesgo en Deloitte Canadá, las juntas directivas corporativas son directamente responsables a los ojos de la agencia reguladora de la RGPD. Las juntas deben entender como la información es recolectada, utilizada, almacenada y destruida. También deben garantizar que la administración siga estas nuevas normativas. [2]

Multas con dientes

Antes de la RGPD, las compañías se preocupaban principalmente por el impacto reputacional de una vulneración de ciberseguridad. Ahora, en adición a un altísimo daño a la marca, existen serias implicaciones financieras por fallas de seguridad. Las compañías que no protegen adecuadamente la información pueden recibir multas de hasta 20 millones de Euros, o el 40 por ciento de sus ingresos globales anuales, lo que sea más alto. Las compañías tienen tan solo 72 horas para reportar una vulneración, y están obligadas a notificar a los clientes “sin demora innecesaria” luego de percatarse de una vulneración.

Las compañías que no provean bienes o servicios a residentes de la UE no están obligadas a cumplir con la RGPD. Pero el protocolo RGPD también aplica a residentes de la UE que vivan en el exterior y a compañías que contraten a terceros con conexiones con países de la UE. Para aquellos que continúen haciendo negocios en Europa, la privacidad por diseño se convertirá en su nuevo lema. Las organizaciones deben garantizar que sus sistemas cumplan con estos exigentes estándares. ¿Acaso algunas organizaciones pequeñas tomaran la decisión de que ya no pueden hacer negocios con ciudadanos de la UE? Casi con toda certeza. Pero para cada organización que opere en Europa, cumplir con estas normativas debería ser obligatorio. Y ya que la RGPD es el más exigente conjunto de normativas jamás promulgadas, las compañías que cumplan pueden estar seguras de que están cubiertas a nivel mundial.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

——

[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”