21 octubre 2017

¿Hay vida más allá de Oracle? GDPR:


Los contratos de servicios gestionados por terceros y de alojamiento, se han de reescribir.

Este mismo artículo, lo puedes encontrar en Linkedin


Poco a poco se acerca el año 2018, dado el grado de tercerización de servicios que actualmente tenemos en España, este efecto secundario, dentro de la aplicación de la GDPR, lo encuentro interesante y digno de ampliar.

Si bien las multas principales bajo GDPR de hasta 4% de la facturación global llaman la atención, la industria de servicios administrados enfrentará algunas obligaciones costosas y disposiciones contractuales detalladas a partir del próximo año. En muchos sentidos, los proveedores de servicios administrados entran en el proceso de cumplimiento por primera vez.

En cuanto a la industria europea de TI, dice que los contratos para los proveedores de servicios administrados actualmente son muy leves en cuanto a las provisiones. Los clientes importantes pueden tener sus propios corredores en sus tratos con proveedores, pero en la práctica, todo lo que exige la directiva actual es que los proveedores de servicios tomen "medidas apropiadas". GDPR cambiará el panorama para los contratos de servicios gestionados y habrá muchas nuevas cláusulas que deberán incluirse.

Por ejemplo: las cláusulas requeridas ahora están en las disposiciones para tomar "medidas de seguridad apropiadas" y actuar solo según las instrucciones del controlador.

En el futuro las cláusulas adicionales bajo GDPR significarán:

  • Control sobre la subcontratación (subproceso).
  • Notificación de infracciones de datos y de los servicios de asistencia que responde a ellas.
  • Derechos de auditoría.
  • Asistencia para responder a los datos que ejercen sus derechos.
  • Eliminación / devolución de datos personales en la terminación.

Los clientes insistirán en tener derechos de auditoría, control sobre los subcontratistas, incluso sobre qué proveedores de soluciones son aceptables. Tienen derecho a oponerse a determinados proveedores y todo esto debe estar cubierto en el contrato, y la lista de disposiciones se ampliará.

¿Cuándo estás sujeto a las reglas de protección de datos? 

Si solo proporciona un centro de datos físico, probablemente no sea parte de él.  Ya no debería existir solamente el cumplimiento como tal - la organización en este momento puede necesitar solo mostrar conformidad y hacer presentaciones ante el regulador. GDPR sugiere que estas presentaciones serán reemplazadas por registros internos. Las nuevas reglas de GDPR pueden cambiar esto, pero todavía no está claro si los países y regiones individuales dejarán de tener que presentar solicitudes.

Se necesitarán oficiales de protección de datos (auditores) para demostrar que las organizaciones están cumpliendo e incorporando una cultura de privacidad. La privacidad por diseño se debe ver como una buena práctica e incorporada en los proyectos desde el principio, por lo que los desarrolladores se verán afectados. De acuerdo con GDPR, habrá una obligación de incluir esto por primera vez, con privacidad por defecto. Tendrán que mostrar por qué se recopilan los datos, el alcance de los datos y qué se excluye.

Hay mucho trabajo adicional: si una empresa enfrenta un alto riesgo de impacto en la pérdida de datos, deberá consultar al regulador. Y surgirá un nuevo grupo de personas, los oficiales de protección de datos, pero es probable que se convierta en un requisito formal si se cumplen ciertos criterios. Estos incluyen autoridades públicas o cualquier persona que realice un monitoreo a gran escala de individuos, como publicidadrastreo de imágenes CCTV o el uso de datos confidenciales, como datos de salud o políticos.

Las reglas especiales de recursos humanos se aplican a aquellos oficiales de protección de datos que no pueden ser despedidos por dar consejos que no le agradan al propietario de la empresa. Se supone que el DPO debe ser imparcial, una tarea compleja, preveo para las personas que ocupen estos puestos.
En resumen:

Bajo el régimen actual (ENS y LOPD, principalmente):
  • Los controladores de datos son responsables de los requisitos.
  • Multa máxima por incumplimiento, sobre el medio millón de euros.
  • No hay responsabilidad para los procesadores, excepto en virtud de sus acuerdos contractuales con un controlador de datos.
Bajo el GDPR:
  • Los procesadores tienen responsabilidad legal; no sola bajo contratos.
  • El artículo 28 establece una larga lista de requisitos que deben incluirse en los contratos entre controladores y procesadores, y los procesadores tienen aún menos discreción sobre cómo pueden llevar a cabo actividades de procesamiento.
  • La mayoría de los operadores de centros de datos actúan como controladores de datos con respecto a los datos personales que realmente procesan.
  • Las personas tienen derechos mejorados, incluida la portabilidad de datos y el derecho al olvido.

No hay comentarios:

Publicar un comentario

Por favor deja tu comentario, es valioso.