La Seguridad de la información de las empresas en la Nube
>> lunes, 25 de enero de 2016
¿Cómo sé que los datos de mi empresa están seguros en la nube?
http://www.diariocritico.com/ 25/01/2016
En los últimos años, desde la Unión Europea se podían transferir datos a Estados Unidos a pesar de ser un país sin legislación de protección de datos equiparable a la europea, con el único requisito que la empresa de destino de los datos estuviera adherida al llamado principio de Puerto Seguro, que eran unas directrices básicas para el tratamiento “seguro” de los datos.
Ante el fin del sistema de Puerto Seguro (Safe Harbour), ya no se permite tratar o alojar datos personales en Estados Unidos, que quiere decir que EEUU ya no es un país que proporciona un nivel de protección equiparable a las legislaciones europeas. Nos referiremos al uso de herramientas para usos objeto de la Ley Orgánica de Protección de Datos, que es el tratamiento de datos para una finalidad concreta y específica, en el ámbito empresarial o profesional, como puede ser la gestión de los clientes o la realización de copias de seguridad en la nube siempre dentro de ese ámbito. No nos referimos al uso privado o doméstico de herramientas como pueden ser cuentas de correo electrónico como Gmail, o sistemas de alojamiento de archivos como Dropbox, ya que la sentencia del TJUE está orientada a responsables, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube.
Ante esta situación debe aclararse algunas cuestiones:
¿Cómo sé que los datos de mi empresa están seguros?
Debo preguntar a mi proveedor de alojamiento, en caso de tener los datos fuera de la UE, si dispone o no de Autorización de la Agencia Española de Protección de Datos para este fin. Si la empresa de hosting dice que sí tiene autorización y facilita el número, la empresa deberá modificar sus ficheros de datos notificando a la Agencia de Protección de Datos el número de autorización. Si no lo hiciera, y siguen estando los datos alojados en los EEUU, la Agencia puede suspender la transferencia de los datos.
¿Qué debo hacer si mi empresa de hosting no tiene autorización de la AEPD?
Buscar un alojamiento o empresa que trate datos situado en España o en la UE o buscar un alojamiento fuera de la UE pero con autorización de la Agencia de Protección de Datos. Conocidas Webs de alojamiento o transmisión de archivos están concebidas para uso personal o doméstico, de modo que ahora debe escogerse muy bien al proveedor que va a tratar los datos de nuestras empresas.
¿En el caso de mi servicio de correo electrónico?
Si utilizas para trabajar correo electrónico de Google, Yahoo, etc., estás en la misma situación, debes preguntar a tu proveedor el lugar de alojamiento de la información. Si tienen los servidores con tu información en EEUU o fuera de la UE, en un país sin legislación equivalente, sucede lo mismo, debes solicitar que te muestren la autorización de la AEPD, y en caso negativo, deberás cambiar de proveedor de correo.
¿Es fácil obtener autorización?
Para la pequeña y mediana empresa es largo y costoso por los documentos que solicitan, todos en original y traducidos (escrituras de la empresa de EEUU alojadora, de la persona que firma, con certificación de que cumple con las medidas de seguridad de la LOPD y RD 1720/2007 con contrato de servicio entre empresa de hosting de EEUU y empresa española que pide autorización, etc.), todo debidamente apostillado. Por lo que se aconseja otro tipo de soluciones si fuera posible, como encontrar un proveedor ya autorizado.
¿Qué está haciendo la AEPD?
Ha notificado por carta a todas las empresas que habían notificado transferencias de datos a EEUU, dando un plazo hasta el 29/01/2015 para notificar la nueva situación.
¿Sirve el consentimiento de cada persona cuyos datos se lleven a los EEUU?
A nuestro entender, el consentimiento es una excepción de la LOPD, y como tal solo serviría para una situación de transferencia de datos a EEUU excepcional, y no habitual o permanente.
¿Pueden sancionarme?
El Art. 44.4.d de la LOPD establece que la transferencia internacional de datos a países que no proporcionan un nivel de protección equiparable sin autorización de la AEPD se sanciona con multa de 300.001 a 600.000 Euros.
Autor: Daniel Santos García
Abogado Socio de SANTOS ABOGADOS ASOCIADOS
Web: www.santosasociados.com
http://www.diariocritico.com/ 25/01/2016
En los últimos años, desde la Unión Europea se podían transferir datos a Estados Unidos a pesar de ser un país sin legislación de protección de datos equiparable a la europea, con el único requisito que la empresa de destino de los datos estuviera adherida al llamado principio de Puerto Seguro, que eran unas directrices básicas para el tratamiento “seguro” de los datos.
Ante el fin del sistema de Puerto Seguro (Safe Harbour), ya no se permite tratar o alojar datos personales en Estados Unidos, que quiere decir que EEUU ya no es un país que proporciona un nivel de protección equiparable a las legislaciones europeas. Nos referiremos al uso de herramientas para usos objeto de la Ley Orgánica de Protección de Datos, que es el tratamiento de datos para una finalidad concreta y específica, en el ámbito empresarial o profesional, como puede ser la gestión de los clientes o la realización de copias de seguridad en la nube siempre dentro de ese ámbito. No nos referimos al uso privado o doméstico de herramientas como pueden ser cuentas de correo electrónico como Gmail, o sistemas de alojamiento de archivos como Dropbox, ya que la sentencia del TJUE está orientada a responsables, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube.
Ante esta situación debe aclararse algunas cuestiones:
¿Cómo sé que los datos de mi empresa están seguros?
Debo preguntar a mi proveedor de alojamiento, en caso de tener los datos fuera de la UE, si dispone o no de Autorización de la Agencia Española de Protección de Datos para este fin. Si la empresa de hosting dice que sí tiene autorización y facilita el número, la empresa deberá modificar sus ficheros de datos notificando a la Agencia de Protección de Datos el número de autorización. Si no lo hiciera, y siguen estando los datos alojados en los EEUU, la Agencia puede suspender la transferencia de los datos.
¿Qué debo hacer si mi empresa de hosting no tiene autorización de la AEPD?
Buscar un alojamiento o empresa que trate datos situado en España o en la UE o buscar un alojamiento fuera de la UE pero con autorización de la Agencia de Protección de Datos. Conocidas Webs de alojamiento o transmisión de archivos están concebidas para uso personal o doméstico, de modo que ahora debe escogerse muy bien al proveedor que va a tratar los datos de nuestras empresas.
¿En el caso de mi servicio de correo electrónico?
Si utilizas para trabajar correo electrónico de Google, Yahoo, etc., estás en la misma situación, debes preguntar a tu proveedor el lugar de alojamiento de la información. Si tienen los servidores con tu información en EEUU o fuera de la UE, en un país sin legislación equivalente, sucede lo mismo, debes solicitar que te muestren la autorización de la AEPD, y en caso negativo, deberás cambiar de proveedor de correo.
¿Es fácil obtener autorización?
Para la pequeña y mediana empresa es largo y costoso por los documentos que solicitan, todos en original y traducidos (escrituras de la empresa de EEUU alojadora, de la persona que firma, con certificación de que cumple con las medidas de seguridad de la LOPD y RD 1720/2007 con contrato de servicio entre empresa de hosting de EEUU y empresa española que pide autorización, etc.), todo debidamente apostillado. Por lo que se aconseja otro tipo de soluciones si fuera posible, como encontrar un proveedor ya autorizado.
¿Qué está haciendo la AEPD?
Ha notificado por carta a todas las empresas que habían notificado transferencias de datos a EEUU, dando un plazo hasta el 29/01/2015 para notificar la nueva situación.
¿Sirve el consentimiento de cada persona cuyos datos se lleven a los EEUU?
A nuestro entender, el consentimiento es una excepción de la LOPD, y como tal solo serviría para una situación de transferencia de datos a EEUU excepcional, y no habitual o permanente.
¿Pueden sancionarme?
El Art. 44.4.d de la LOPD establece que la transferencia internacional de datos a países que no proporcionan un nivel de protección equiparable sin autorización de la AEPD se sanciona con multa de 300.001 a 600.000 Euros.
Autor: Daniel Santos García
Abogado Socio de SANTOS ABOGADOS ASOCIADOS
Web: www.santosasociados.com
0 comentarios :
Publicar un comentario