Consideraciones sobre el cumplimiento del Reglamento general de protección de datos (RGPD) para infraestructuras de copia de seguridad y almacenamiento

Seguro que las empresas e instituciones públicas con sede en la Unión Europea (UE) conocen el nuevo Reglamento general de protección de datos (RGPD), una serie de normas sobre privacidad que entrarán en vigor el 25 de mayo de 2018. Sin embargo, lo que quizás ignoren las empresas radicadas fuera de la Unión Europea es que este nuevo régimen normativo se aplica a todas las empresas del mundo que comercian con la UE y realizan transacciones con clientes de la UE a través de Internet.

• El RGPD a través de la lupa de la ley Sarbanes-Oxley (SOX)
• Terminología general del RGPD
• Identificación de su lugar en la jerarquía del RGPD
• Fallos de protección de la privacidad
• Satisfacer los requisitos del interesado en cuanto al control de sus datos personales
• Requisitos del RGPD más amplios para la copia de seguridad y el almacenamiento
• Conclusión

Si tiene clientes o partners que operan dentro de las fronteras de la UE, debe informarse ya sobre el RGPD y comenzar a tomar medidas inmediatamente para que su empresa cumpla este reglamento. De lo contrario, estará sujeto a sanciones económicas graves que podrían afectar a la capacidad de su empresa para desarrollar una actividad comercial rentable en dicha región.

El RGPD tiene como finalidad proteger el derecho individual a la privacidad de los ciudadanos de la UE y, si se compara con la legislación sobre la privacidad europea anterior, amplía en gran medida la definición de lo que constituye información personal y privada, de manera que ahora incluye no solo los registros financieros, oficiales y médicos, sino también la información genética, cultural y social. Ahora, las empresas deben obtener el consentimiento explícito de un individuo para poder utilizar sus datos personales y, además, deben respetar su "derecho al olvido", es decir, a que se eliminen todos los datos personales que tenga la empresa, si así lo solicita el usuario.

Asimismo, las empresas deben satisfacer nuevos requisitos para demostrar su cumplimiento continuo del RGPD, como elegir a un responsable de los asuntos relacionados con el RGPD en la empresa (denominado "Delegado de protección de datos"), comunicar todos y cada uno de los incidentes de violación de los datos, y almacenar los datos personales dentro de las fronteras físicas de la UE. Esto último refleja la preocupación en la Unión Europea por la ausencia de normativas similares para la protección de la privacidad de los ciudadanos en otros países fuera de la UE, así como por que los datos almacenados fuera de la UE corran mayor riesgo de ser vigilados por agencias de inteligencia estatales y ciberdelincuentes.

Para los profesionales de TI de una cierta edad, los retos que presenta el cumplimiento del RGPD pueden recordar a la ley Sarbanes-Oxley (SOX) de Estados Unidos, de principios de la primera década del siglo. Al igual que el RGPD, la ley SOX era un nuevo régimen normativo muy estricto y de obligado cumplimiento para empresas de todo tipo y tamaño. Aunque fue impuesto de forma unilateral por Estados Unidos a las empresas con actividad dentro de sus fronteras, representaba a un mercado de tal envergadura que afectaba a empresas de todo el mundo. Al igual que la UE con el RGPD, Estados Unidos creó un calendario de cumplimiento agresivo y el incumplimiento de la ley conllevaba el pago de multas contundentes. Y, al igual que el RGPD ahora, la ley SOX generó mucha confusión y ansiedad entre las empresas afectadas, especialmente en lo que se refiere a los costes derivados del cumplimiento.

Por otro lado, los profesionales de TI en 2017 y 2018 lo tenían más fácil que sus homólogos a principios del siglo XXI. Por ejemplo, las empresas hoy día tienen acceso a una mejor tecnología que les permite proporcionar la información exigida y demostrar ante las autoridades que han implementado las directivas, controles y procedimientos exigidos para el cumplimiento del RGPD. Las plataformas de Gobernanza, gestión de riesgos y cumplimiento (GRC, del inglés, Governance, risk management and compliance) han evolucionado considerablemente en la última década, al igual que la disciplina de administración del ciclo de vida de las directivas. Gracias en parte a normativas como la ley SOX y la Directiva de protección de datos de la Unión Europea de 1995, las empresas tienen experiencia en la evaluación del impacto en la privacidad y la administración del acceso a los datos. Ahora hay disponibles herramientas mejores y más automatizadas para controlar, informar y mitigar las fugas de datos.

Sin embargo, desde la época de la ley SOX el mundo ha evolucionado de formas que complican el cumplimiento del RGPD. Ha aumentado enormemente la velocidad, el volumen, la diversidad de soportes empleados (incluido el almacenamiento en la nube) y la complejidad del almacenamiento de datos.

El cumplimiento del RGPD tiene implicaciones en la evaluación del impacto de la privacidad, la administración del acceso a los datos, y la notificación y resolución de fugas de datos, temas que no vamos a tratar en este documento. Este documento se centra en el cumplimiento del reglamento RGPD especialmente en cuanto al almacenamiento seguro y la protección de los datos activos, incluidos su archivado y eliminación.

Para entender el RGPD en lo que se refiere a almacenamiento de datos y protección de datos, resulta útil conocer la siguiente terminología básica:

• InteresadoUn ciudadano de la UE que es identificable por sus datos personales. Entre los ejemplos se incluyen: un particular que realiza una compra online, un paciente de un sistema de atención sanitaria, un ciudadano que accede a servicios del Gobierno en Internet, un usuario de aplicaciones de medios sociales, es decir, cualquier individuo que proporcione información personal para utilizar un servicio.
• Responsable del tratamientoEmpresa que desarrolla su actividad en el espacio de la Unión Europea —o fuera de la UE, si realiza transacciones con residentes de la UE— y que obtiene datos confidenciales sobre residentes de la UE en el curso de sus operaciones. Entre los ejemplos se incluyen: una empresa que acepta pedidos online y guarda direcciones e información de tarjetas de pago de consumidores; un proveedor de servicios sanitarios que conserva los registros de los pacientes. (Consulte la siguiente información para averiguar si su empresa funciona como responsable del tratamiento o como encargado del tratamiento).
• Encargado del tratamientoEmpresa comercial, como un proveedor de servicios en la nube, que actúa como contratista de un responsable del tratamiento, es decir, otra empresa que suministra bienes o servicios a los ciudadanos de la UE y que obtiene información confidencial sobre los individuos. Entre los ejemplos, se pueden citar empresas de alojamiento de aplicaciones, proveedores de espacio de almacenamiento y proveedores de servicios en la nube, como copia de seguridad.
• Datos personales“Cualquier información relativa a una persona natural identificada o identificable”. La definición de este término en la Unión Europea es más amplia que en ninguna otra Administración, e incluye el nombre, dirección de correo electrónico, publicaciones en medios sociales, información física, fisiológica o genética, datos médicos, ubicación, detalles bancarios, dirección IP, cookies, identidad cultural, etc. de los ciudadanos de la Unión Europea.
• Derecho al olvidoEl derecho de todo ciudadano de la UE a  “que sus datos personales se borren y no se traten nunca más”. Los individuos pueden solicitar que se eliminen sus datos personales almacenados en los servidores de un responsable del tratamiento. Sobre este asunto en particular hay algo de ambigüedad. ¿Requiere una solicitud de ser olvidado el borrado de las copias de seguridad (lo que puede ser problemático en soportes de copia de seguridad en serie, como cintas)? ¿Qué ocurre cuando el derecho a ser olvidado entra en conflicto con las políticas de conservación de datos de una empresa en lo referido al archivado y requisitos legales?
• Fuga de datos personales"Una violación de la seguridad que conduce, de forma accidental o fuera de la ley, a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o tratados de cualquier otra forma”. Las empresas deben comunicar todo incidente de fuga de datos a la "autoridad de control" correspondiente en un plazo de 72 horas desde el momento de su conocimiento.

Para entender sus obligaciones bajo el reglamento RGPD, debe determinar primero si su empresa funciona como responsable o como encargado del tratamiento, teniendo en cuenta estas tres preguntas:

1. 1 ¿Conserva o trata datos personales de algún residente de la UE?
2. 2 ¿Decide qué tipos de datos personales se van a almacenar?
3. 3 ¿Decide cómo utilizar los datos personales que estén almacenados bajo su control?

Si contesta sí a la Pregunta 1 solamente, solo actúa como encargado del tratamiento en el marco del reglamento RGPD. Si contesta sí a las Preguntas 1, 2 y 3, entonces es un responsable del tratamiento.

Como responsable o encargado del tratamiento que debe garantizar el cumplimiento del reglamento RGPD para el almacenamiento y la protección de los datos personales que tiene, también debe plantearse las siguientes preguntas:

1. ¿Puede detectar, especificar y controlar la ubicación física de almacenamiento de los datos personales que controla? Esto cobra particular importancia si utiliza u ofrece protección de datos y/o almacenamiento en la nube, ya que en este caso, los datos personales tienen el potencial de propagarse por varias ubicaciones físicas en centros de datos de todo el mundo, incluidos los que están fuera de las fronteras de la UE.
2. ¿Cómo estructura los datos personales que almacena? Las decisiones en cuanto al formato de los datos tienen sus implicaciones a la hora de leer, modificar y eliminar partes concretas de datos personales a petición de los usuarios. Las estructuras de datos que permiten realizar búsquedas rápidas y eficaces serán especialmente útiles para satisfacer estas demandas a gran escala.

Su capacidad para dar fe de la privacidad, integridad, accesibilidad y eliminación de los datos personales depende en parte de la capacidad que tenga para protegerse y recuperarse en caso de fallos de almacenamiento, copia de seguridad y recuperación de datos. Estos fallos se clasifican en tres categorías diferentes:

• Fallos de dispositivos: el fallo físico de componentes de hardware de almacenamiento, como discos duros, controladoras de almacenamiento y centros de datos. Por ejemplo, una unidad de disco duro que se expone de manera accidental a un campo magnético, lo que provoca un borrado parcial de la información que contiene.
• Fallos lógicos o de software: debidos a errores humanos. Por ejemplo, la eliminación o sobrescritura accidental de archivos durante el procedimiento de ejecución de una copia de seguridad, la corrupción accidental de datos de archivos debido a un fallo o error de un script o aplicación comercial; o la eliminación accidental del registro de arranque maestro de una unidad de disco duro.
• Violaciones de la seguridad: fallos debido a ataques graves malintencionados dirigidos a infraestructuras de TI, como redes, servidores, aplicaciones y endpoints, ya sean provocados por personal interno o ciberdelincuentes, o auspiciados por estados. Ejemplos: un ataque de ransomware que cifra el contenido de una unidad de disco duro y solicita el pago de un rescate online para obtener la clave de descifrado.

Además de proteger frente a distintos tipos de fallos de protección de datos, y comunicar a las autoridades de la UE si se producen fugas, los responsables del tratamiento tienen algunas obligaciones con los usuarios cuyos datos personales controlan. Los responsables del tratamiento deben ofrecer a los usuarios la posibilidad de:

• Acceder, leer y editar sus datos personales.
• Eliminar con facilidad su datos personales, ya sea directamente o tras enviar una sencilla solicitud.
• Exportar sus datos personales a un formato de fácil lectura.

Satisfacer las peticiones de los usuarios no siempre es fácil. Por ejemplo, no es difícil atender a solicitudes directas, como "Eliminar mi bandeja de entrada y todo lo que contiene"; sin embargo, no es tan simple cuando las solicitudes son más complejas o ambiguas, como "Eliminar todos mis comentarios de este foro en Internet".

Las empresas que funcionan como encargados del tratamiento tienen además otras obligaciones. Entre ellas:

• Ofrecer garantías suficientes de que sus servicios cumplen los requisitos técnicos y organizativos del RGPD.
• Evitar el uso de empresas subcontratadas para los contratos de servicios entre el encargado del tratamiento y sus clientes (responsables del tratamiento) sin el consentimiento expreso de estos últimos.
• Al extinguirse un contrato de servicio, deben eliminarse todos los datos de la nube y/o la infraestructura del centro de datos, y proporcionar las pruebas pertinentes que avalen que así se ha hecho.
• Comunicar los incidentes de violación de datos al organismo regulador.

La UE se toma en serio el cumplimiento de las normativas, y amenaza con sanciones financieras importantes a las empresas que no puedan demostrar el cumplimiento o si se descubre que infringen claramente las normas del RGPD, que tienen como objetivo proteger la privacidad del usuario. Por ejemplo, si no mantiene registros por escrito, no implementa distintas medidas técnicas u organizativas, y/o no elige a un Delegado de protección de datos, la empresa se enfrenta a multas de 10 millones de euros o un 2 % de sus ingresos anuales globales (según la cifra que sea mayor). Sufrir una fuga de datos o violar los derechos del interesado, es decir, perder o eliminar sus datos sin permiso, puede acarrear el pago de multas incluso más severas de 20 millones de euros o el 4 % de los ingresos anuales globales (según la cifra que sea mayor).

En resumen, para conseguir el cumplimiento del RGPD en las áreas de almacenamiento y protección de datos (copia de seguridad), tanto los responsables como los encargados del tratamiento deben procurarse soluciones de infraestructura y servicios que cumplan los siguientes requisitos técnicos:

• Control de la ubicación de almacenamiento de datos personales del interesado. Debe ser capaz de satisfacer los deseos de los individuos cuyos datos controla o trata en cuanto al lugar de almacenamiento: in situ y/o en un centro de datos específico de la Unión Europea.
• Cifrado de datos. Debe ofrecer cifrado fuerte de los datos personales que se encuentren en sus endpoints, así como en tránsito entre sus redes locales y redes de área extensa y la nube. El proceso de cifrado debe estar totalmente automatizado, y el interesado debe ser el único poseedor de la clave de cifrado.
• Búsqueda de datos en copias de seguridad. Debe garantizar la posibilidad de realizar búsquedas en las copias de seguridad a nivel granular, para facilitar la localización de la información solicitada en nombre de los interesados.
• Posibilidad de modificar datos personales. Debe tener la posibilidad de copiar, modificar y eliminar datos personales fácilmente a petición de los interesados.
• Exportación de datos a un formato habitual. Debe ser capaz de exportar los datos personales a un formato habitual y de fácil uso (por ejemplo, a archivos comprimidos ZIP).
• Recuperación de datos rápida. Debe ser capaz de recuperar rápidamente datos personales de las copias de seguridad en caso de fallo de un dispositivo de almacenamiento, un problema de software, un error de un operador o una violación de la seguridad (por ejemplo, un ataque de ransomware).

Asimismo, los responsables y los encargados del tratamiento deben tener en cuenta las siguientes normas del RGPD al elegir las infraestructuras y los servicios de almacenamiento y protección de datos:

• Transferencias de datos a otros países. Toda transferencia fuera de la frontera de la Unión Europea debe ser transparente y segura. Es preciso que los proveedores de servicios puedan especificar las ubicaciones en las que se almacenan los datos personales a petición de los interesados.
• Notificación de violación de la seguridad. En caso de violación de datos, un encargado del tratamiento debe avisar a todos los responsables del tratamiento y clientes acerca de los riesgos en un plazo de 72 horas.
• Derecho al acceso. La copia de seguridad y el almacenamiento deben garantizar el derecho de los interesados a obtener información de los responsables del tratamiento en relación al tratamiento de sus datos personales. Los responsables del tratamiento deben ser capaces de proporcionar una copia de los datos sin coste alguno. Los archivos de copia de seguridad deben estar disponibles para los interesados continuamente. Los datos personales en una copia de seguridad o una cuenta de almacenamiento deben ser susceptibles de ser eliminados por el interesado o a petición suya.
• Derecho al olvido. Cuando los datos ya no sean relevantes para su fin original, los interesados deben tener la oportunidad de exigir al responsable del tratamiento que los elimine.
• Portabilidad de los datos. Los interesados deben poder obtener y reutilizar sus datos personales para sus propios objetivos mediante su transferencia a través de distintos entornos de TI. Para ello debe ser posible descargar los datos personales en un formato transferible fácilmente.
• Delegado de protección de datos. Debe designarse a un empleado que será el máximo responsable del cumplimiento del RGPD, denominado Delegado de protección de datos, en organismos públicos o grandes empresas (de 250 empleados o más).
• Privacidad de base. Los responsables y los encargados del tratamiento deben poner en práctica las medidas técnicas y organizativas adecuadas, como la seudonimización, destinadas a implementar principios de protección de datos.

Se acerca la fecha límite para el cumplimiento del RGPD, 25 de mayo de 2018, y las multas por su incumplimiento son cuantiosas, sin embargo, todas las empresas, instituciones y proveedores de servicios que ofrecen bienes o servicios a los ciudadanos de la UE pueden tomar ya las medidas necesarias para estar preparados. Empiece por reconocer cómo el reglamento RGPD refuerza y amplía la definición de los derechos de la privacidad individual frente a otras normativas anteriores, como la Directiva de protección de datos de 1995. Familiarícese con la nueva terminología creada por el RGPD para entender su lugar en el marco. Y comience a afrontar el reto del cumplimiento con medidas significativas para la protección de la privacidad de los datos y dentro de su espacio de control, como actuando para mejorar su infraestructura de protección y almacenamiento de datos, con el fin de adaptarlos a los nuevos requisitos.

Para obtener más información, consulte:

• Enlace al informe de IDC
• Soluciones de copia de seguridad y almacenamiento para cualquier entorno empresarial