Este artículo está basado sobre el Modelo de Responsabilidad Compartida de AWS y su relación con la aplicabilidad del Reglamento General de Protección de Datos de la Unión Europea GDPR UE.
En general la GDPR UE se aplica sobre los países que conforman la Unión Europea y sobre las empresas que facilitan productos o servicios a los ciudadanos de la UE, por lo que procesan sus datos personales.
¿Y esto que tiene que ver con el Perú? Pues que también estamos inmersos sobre esta regulación por lo que las empresas en el Perú deben alinearse al cumplimiento de la misma, siempre y cuando estas empresas procesen los datos personales de ciudadanos de la UE o alguna organización mediante la prestación de un servicio tercerizado procese los datos personales de los ciudadanos de la UE en su nombre.
Según Sanchiz (2018), sostiene que las empresas deberán asegurarse de que cumple de manera segura con el tratamiento de los datos personales de los ciudadanos de la UE.
En ese sentido, Guillis (2018) explica que en el objetivo de la GDPR UE es el de facilitar a los ciudadanos más control sobre sus datos personales, definiendolo de acuerdo a la regulación como el “Data Subject” quien almacena información personal en una empresa.
Por lo tanto, cuando una empresa (Cloud Consumer) almacena contenido en un Cloud Service Provider (CSP) por ejemplo: audio, video, software, objetos, datos, entre otros; también podría estar almacenando información personales de los individuos.
Shapland (2018) sostiene que para lograr el cumplimiento de la GDPR UE, es necesario comprender quien controla y quien procesa los datos personales, mas aún en escenarios donde no sólo se limita a la servicios de la red interna de la empresa (On Premise), sino que también a la extensión de los servicios prestados por el CSP (Off Premise).
El Controller, es el que controla y es responsable de determinar los fines relacionados con el tratamiento de los datos personales de los ciudadanos de la UE. En este caso, el Cloud Consumer (CC) es responsable por asegurar el entorno provisto por el CSP, facilitando mecanismos de seguridad sobre los datos personales o “Data Subject”.
El Processor, es el que procesa los datos personales en nombre del resposable del tratamiento de los datos personales, es el que ejecuta las operaciones sobre los datos personales de los ciudadanos de la UE. En este caso es el CSP quien utilizando una serie de servicios basados en Cloud Computing, procesa los datos personales.
De esta forma, según la GDPR UE ambas partes tanto el Controller así como también el Processor tienen obligaciones dentro de la regulación.
La aplicación de la GDPR UE se da fuera de los limites geográficos de la Unión Europea (UE), por ejemplo planteamos el siguiente ejemplo:
“El Banco XYZ del Perú (Cloud Consumer), como parte de su proceso de adopción de Cloud Computing, se encuentra utilizando servicios del CSP AWS. En ese sentido el escenario de responsabildad sobre el cumplimiento de la GDPR UE sería el siguiente: Un ciudadado de la UE decide aperturar una cuenta en el Banco XYZ del Perú, por lo tanto esta facilitando una serie de datos personales que deben ser asegurados por el banco de acuerdo a la regulación GDPR UE.
El Controller sería el Banco XYZ del Perú y el Processor sería AWS como CSP. Dependiendo del modelo de servicio que este utilizando el Cloud Consumer tendrá un mayor o menor nivel de responsabilidad con respecto al tratamiento de los datos personales de los ciudadanos de la UE.”
A continuación se observa el Modelo de Responsabilidad Compartida de AWS y del Cloud Consumer con respecto a la GDPR UE:
Fuente: Sanchiz, C. (13 de 11 de 2018). Explorando el Cumplimiento de la GDPR sobre AWS. Madrid, España.
La siguiente pregunta es ¿Qué están haciendo las organizaciones locales con respecto al cumplimiento de esta regulacion GDPR UE?
Debemos comprender que adoptamos “servicios basados en Cloud Computing” por lo tanto tenemos que gestionarlos y gobernar al Cloud Services Provider (CSP)
Para poder responder la pregunta es necesario primero identificar y clasificar los bancos de datos, asociado a los servicios cloud computing adoptados; establecer claramente las responsabilidades compartidas entre el Cloud Services Provider y nosotros como Cloud Consumer, de acuerdo al modelo de servicio.
Luego deberíamos establecer por nuestra parte, las responsabilidades en el tratamiento de datos, las cuales fueron descritas en los párrafos iniciales. Posterior deberíamos, como Gobierno TI, evaluar los riesgos de Seguridad de Información y el impacto sobre el negocio, por ejemplo: Impacto económico, contractual, reputacional, reprocesos, entre otros, con respecto al cumplimiento de las exigencias RGPD UE.
Sugiero, para mayor información, revises el siguiente material de Cloud Security Alliance Global en el siguiente enlace: https://goo.gl/skcrrp
En el “Guidelines on Effectively Managing Security Service in the Cloud” de Cloud Security Alliance podrás encontrar información sobre la responsabilidad en términos de seguridad compartida cuando se adoptan servicios basados en Cloud Computing.
Vamos a trabajar en más artículos que nos permitan tener claro cómo afrontar de manera segura el proceso de adopción de Cloud Computing.
Escrito por:
Manuel Caldas – Evangelista Cloud en Telefónica
Con la colaboración de:
Fernando Carrillo – Consultor Cloud en AirOn Group.
Jorge Rojas Arévalo – Consultor en Seguridad de la Información en AGN Consultores
