Cumplir con el RGPD en el entorno del Cloud Computing

La protección de datos es ya de por sí un tema complicado para las empresas, pero si hablamos de entornos cloud o de la subcontratación de servicios relacionados con los datos la preocupación coge aún más magnitud. La protección de datos en la nube es clave en una empresa. Son varias las normativas y leyes que los aseguran, hoy nos centramos el Reglamento General de Protección de Datos, RGPD .

Es un reglamento establecido por la Unión Europea que unifica las políticas de protección que cada estado fue creando. Una vez estandarizada en una única normativa europea, se implantó en cada país miembro una adaptación a esta normativa. La adaptación española de esta ley, que llegó en diciembre de 2018, es la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales, LOPDGDD.

Ambas, tanto la RGPD como la LOPDGDD, dan la posibilidad al usuario a tener más control sobre la información digital que facilita y toda entidad o autónomo están obligados a cumplirlas. Es una norma global, por lo que aunque protege a los ciudadanos europeos, toda empresa de cualquier país que quiera acceder a datos de usuarios europeos deben acatar esta ley.

Establecen una serie de responsabilidades extras para las empresas llegando a poder ser sancionadas aquellas que la incumplan. Es decir, se acabó la libre circulación de datos. Mediante la protección de los datos se busca garantizar el derecho a la privacidad, al honor y a la intimidad de los usuarios.

En un principio fueron una gran preocupación para las empresas, ya que existían muchas dudas sobre cómo implantarla correctamente. Actualmente, estas han notado que son muchos los beneficios que aporta, sobre todo de cara a la confianza entre cliente y marca. Aún así, incluso ahora más de la mitad de las empresas, porcentaje superior en empresas españolas, no cumplen con esta ley tal y como deberían. Aunque disponen de proyectos para la implementación.

Medidas de RGPD

Los puntos clave para cumplir el reglamento son:

  • Crear un documento de registro de actividades del tratamiento (RAT).
  • Control por cifrado y privacidad de datos personales.
  • Prevención en la recuperación de datos y de acceso a estos que garanticen la disponibilidad.
  • Medidas de seguridad para evitar fuga de datos.
  • Tratamiento y procesamiento seguro y confidencial de los datos de la empresa y colaboradores. Informando de sus obligaciones y responsabilidad a terceros y limitándoles el tratamiento mediante contratos de encargo de tratamiento o confidencialidad.
  • Transparencia informativa con los usuarios. Permitiendo el derecho de acceso, control y dándoles capacidad de decisión sobre su propia información. Deben poder conocer el estado de sus datos en todo momento, desde el momento de captación, incluso si están afectados por un ataque informático.
  • Evaluación de las medidas tomadas e implantación de mejoras si fuera necesario.
  • Documentar las medidas, acciones y prevenciones.

La Agencia Española de Protección de Datos ha creado una Guía del Reglamento General de Protección de Datos para que las empresas tengan mayor facilidad a la hora de implantar las medidas.

Ya en la RGPD y LOPDGDD se establece, como uno de sus requisitos, la necesidad de copias de respaldo y procedimientos de recuperación de los datos personales. Además, establecen que una de estas copias debe estar en una zona diferente a donde estén localizados los equipos informáticos.

El cloud computing es la mejor solución para ello. No solo cumple con lo anterior sino que asegura una alta disponibilidad, ya que permite que una copia de seguridad en linea mantenga el funcionamiento de la empresa en todo momento.

Protección de datos en la nube

El poder compatibilizar la RGPD y el Cloud Computing no resulta tan enrevesado como parece. De hecho, el entorno del Cloud puede ayudar a las empresas a cumplimentar en gran medida el reglamento de protección de datos.

Ya hemos dicho que el cloud computing es la mejor solución para las copias de seguridad a distancia. Se juntan las facilidades que da la nube en cuanto a conectividad, seguridad y disponibilidad, y una copia de seguridad virtualizada que garantiza la recuperación y la copia de datos de acuerdo al cumplimiento del RGPD y a la LOPDGDD.

Por otra parte, para cumplir el reglamento correctamente si se externaliza el servicio, esta tercera entidad deberá cumplir los mismos requisitos legales que la empresa en cuanto seguridad de los datos que se alojan en ellos. Se puede optar por la solicitud de un certificado de RGPD para mayor seguridad acerca de la empresa y garantizar la protección de datos en la nube.

Esto se realiza por medio de un contrato de encargo del tratamiento y auditorías impidiendo cualquier uso de los datos de la empresa que contrata. Es decir, impide la divulgación, apropiamiento o uso comercial de los datos. Además de eso, es parte de sus servicios velar por la seguridad y el mantenimiento de los datos que se alojen en sus servidores.

Jurídicamente, el cliente es el responsable del tratamiento de los datos y el proveedor de cloud computing un prestador de servicios. Ambos deben mantener una relación de transparencia que aporte garantías en la adopción del servicio. Además de pedir transparencia en la relación, se exige que el cliente mantenga un control sobre todo lo relativo a sus datos. Esto sería por medio de un responsable, un encargado de la privacidad de datos, DPD.

AEPD dispone de dos guías para la contratación de estos servicios que ayudan a las dos partes interesadas.

¿Qué aporta la implantación de la norma?

Como ya se ha dicho más de la mitad de las empresas no cumplen con la RGPD por falta de control y por la complejidad de implantarla, en la mayor parte de los casos. Además, el uso del cloud puede ser clave a la hora de cumplir con ella por temas de seguridad principalmente.

Aunque las empresas no tengan totalmente implantada la RGPD, si que están trabajando en sus medidas ya que, a parte de cumplir con la exigencia legal y evitar importantes multas, aporta a la entidad grandes beneficios sociales y de eficacia laboral.

Estas normativas se ocupan de generar entornos seguros y confiables en el activo principal de las organizaciones digitalizadas del siglo XXI: la información. No solo ayuda a la propia empresa a gestionar, organizar y potenciar la seguridad, tratamiento y movimiento de los datos, sino que genera confianza por parte de los clientes. Esto ayuda a la fidelización y a la mejor gestión de la información de la que dispone una empresa.


Concluyendo todo esto, la adaptación es lo que hace que las empresas sobrevivan y crezcan en este mundo digitalizado y cambiante. En el caso específico de la RGPD, o LOPDGDD, la satisfacción de las empresas con el reglamento es significativo y optan cada vez más por entornos cloud y sus ventajas de protección de datos en la nube.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll to top