Cómo sobrevivir en un mundo posterior al Safe Harbor

Phil Muncaster

15/01/2016

Aclaramos por qué las empresas británicas y europeas que tengan proveedores de servicios en la nube (CSP) con sede en un país no europeo deben evaluar sus controles de datos y accesos.

El 6 de octubre de 2015, en una decisión emblemática, el Tribunal de Justicia de la Unión Europea invalidó el acuerdo Safe Harbor, que había estado vigente entre la UE y los EE. UU. durante 15 años. Este veredicto no solo afecta a las miles de empresas relacionadas con la nube que almacenan datos de ciudadanos europeos en centros situados en los Estados Unidos, sino también a sus clientes corporativos de toda Europa.

¿Dónde están almacenados mis datos? ¿Cómo están protegidos? ¿Cumplo con las condiciones pertinentes? Estas son la clase de preguntas que los líderes informáticos deben empezar a plantearse. Aunque es cierto que se está debatiendo exhaustivamente un nuevo acuerdo Safe Harbor entre negociadores de los EE. UU. y la UE, la incertidumbre normativa actual ofrece a las organizaciones, al menos, una oportunidad de replantearse su estrategia en la nube.

¿Qué ocurre a continuación?
Safe Harbor se diseñó para racionalizar el proceso de transferencia de datos entre los EE. UU. y la UE y facilitar a las empresas estadounidenses que cumplan con la Directiva de la UE 95/46/CE sobre protección de datos, y por tanto puedan almacenar de manera legal los datos de los ciudadanos europeos en centros norteamericanos. Sin embargo, el año pasado el usuario de Facebook alemán Max Schrems se preguntó si sus datos de las redes sociales podrían ser susceptibles de ser espiados por parte de la NSA, lo que supondría una infracción del derecho fundamental de la UE a la protección de datos. El Tribunal de Justicia de la Unión Europea accedió y el Safe Harbor se desguazó efectivamente.

Aquí le ofrecemos algunos consejos importantes sobre qué hacer a continuación:

  • Estudie su situación actual. ¿Qué datos de los clientes conserva? ¿Qué se está transfiriendo al exterior de la UE? ¿A dónde van los datos? ¿Y qué está haciendo para protegerlos? Compare los acuerdos con los consejos de la agencia de regulación de la privacidad de Reino Unido, la Oficina del Comisionado de Información (ICO).
  • Si fuera posible, negocie de nuevo sus contratos para asegurar que su CSP almacena los datos de clientes exclusivamente en sus centros de datos europeos.
  • La tokenización de los datos debería ser un objetivo que perseguir. Sustituye los datos delicados con identificadores únicos, por lo que se minimiza la exposición de dichos datos en entornos de riesgo. Así podría ayudar a las empresas a reducir el riesgo de pérdida de los datos a la luz del veredicto sobre Safe Harbor.
  • Un cifrado fuerte es otro método que ha sido comprobado para mantener la seguridad de los datos ante los voraces ojos de los hackers. Debe producirse cuando los datos están almacenados, en tránsito y en uso.
  • Si va a optar por un nuevo proveedor en la nube, asegúrese de dedicar una cantidad importante de tiempo a la debida diligencia. En un mundo posterior al Safe Harbor, dónde almacena sus datos su CSP (y cómo los protege) es una cuestión más importante que nunca.
  • Si su empresa utiliza o comparte datos de clientes de manera habitual, emprenda los pasos determinados por las mejores prácticas para hacer anónimos dichos datos.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.