Norma sectorial en Compliance - Código CISPE

28/11/2016
 
 

Norma sectorial en Compliance - Código CISPE

Código de Conducta para proveedores Cloud.
 
Comentamos en el presente artículo uno de los aspectos que en materia de compliance siempre sacamos a colación: los requisitos y garantías que exigimos a nuestros proveedores de servicios externalizados, como medida de diligencia. 
En relación con lo anterior, de los aspectos más relevantes de un programa de corporate compliance, y que más preocupa a las empresas, es la existencia de medidas preventivas para evitar delitos contra la privacidad y/o confidencialidad. Cuando se trata de proveedores que pueden incidir en la privacidad y confidencialidad de nuestros datos, debemos llevar a cabo medidas de diligencia debida para comprobar su capacidad técnica, solvencia, experiencia en el mercado, así como el cumplimiento por parte de aquéllos de los estándares, guías o recomendaciones sectoriales.
 
En este sentido, El pasado 27 de septiembre, y precediendo a la entrada en vigor Reglamento Europeo de Protección de Datos (cuya aplicación será obligatoria a partir del 25 de mayo de 2018), la asociación de Proveedores de Servicios de Infraestructura en la Nube en Europa (CISPE, por sus iniciales en inglés), de reciente creación y formada por más de 20 proveedores de infraestructura de nube con operaciones en Europa, publicó su Código de Conducta de Protección de Datos.
 
Dicho Código, basado en normas de seguridad reconocidas internacionalmente, es compatible con la regulación del Reglamento Europeo de Protección de Datos, y es la primera norma de su tipo en materia de protección de datos en plataformas en la nube. Nace con el objetivo principal de otorgar a los usuarios de estas infraestructuras la certeza de que sus datos personales permanecen siempre bajo su control y propiedad.
 
El Código ofrece una guía a los usuarios para que éstos sean capaces de evaluar si el servicio de infraestructura de la nube que desean utilizar se adecúa a sus necesidades de confidencialidad y seguridad en materia de protección de datos, permitiéndoles así identificar con facilidad las actividades de procesamiento que se realizarán sobre sus datos personales. No obstante, el Código no sustituye al contrato entre el proveedor del servicio asociado a CISPE y el cliente, por lo que en todo caso ambas partes podrán definir los términos de prestación del servicio a través de la suscripción del correspondiente Acuerdo de Servicio.
 
Uno de los aspectos más destacables del Código (más allá de la novedad de su propia existencia) es que garantiza a los eventuales clientes que los proveedores de este tipo de infraestructuras no procesarán sus datos personales en beneficio propio ni para revenderlos a terceros, es decir, que no realizarán ningún tipo de explotación en relación a sus datos de carácter personal ni perfiles dirigidos a la ejecución de actividades de marketing o similares.
 
En este mismo sentido, los clientes que contraten servicios de infraestructura en la nube podrán conocer y controlar dónde se procesan y almacenan físicamente sus datos personales, contando además con la garantía de saber que su proveedor de servicio, siempre y cuando esté adscrito al Código, procesará y almacenará dichos datos exclusivamente en los países de la UE o del EEE.
 
El Código establece un conjunto de requisitos en materia de seguridad de datos personales procesados que los proveedores adheridos al Código deberán cumplir. En particular, regula los términos y condiciones contractuales de los servicios de este tipo de proveedores, la transmisión de datos personales a terceros países, la eliminación y/o devolución de datos personales, la demostración del cumplimiento del Código y la forma en que han de procesarse las solicitudes de datos (ya sea a instancias gubernamentales o con motivo de la aplicación de la Ley), entre otros. Asimismo, establece una serie de requisitos y mecanismos para dotar de transparencia las medidas de seguridad previstas.
 
En este contexto, el proveedor será el único responsable del desarrollo, la gestión y la seguridad de cualquier hardware físico utilizado para la prestación del servicio de infraestructura en la nube, así como de cualquier configuración que sea necesaria para dicha prestación. Por su parte, el cliente será el único responsable de gestionar la configuración apropiada de cualquier sistema y aplicación que haya sido implementada por el cliente en el servicio de infraestructura de nube.
 
Los proveedores de este tipo de servicios, de forma previa a su adhesión al Código, deberán evaluar si el Acuerdo de Servicio que ofrecen a sus nuevos clientes contradice los requisitos de seguridad y transparencia que éste establece, y en su caso, deberán realizar las modificaciones necesarias a fin de implementar los estándares del Código y adaptarse a su regulación.
 
Finalmente, los proveedores de servicios de infraestructura de nube podrán demostrar su cumplimiento con el Código mediante la certificación de auditores independientes o terceros, o por el cumplimiento de una serie de requisitos que les otorgará una auto-certificación. De esta forma, los usuarios podrán verificar si su proveedor de servicios en la nube sigue las directrices del Código, ya que quienes estén adheridos al mismo constarán marcados por un sello de confianza que controlará CISPE y que además figurará en  la página web de la asociación. De esta forma, se permite al usuario identificar qué proveedores prestan sus servicios con una seria de garantías en materia de protección de datos para el usuario.