Según un estudio de Interoute, las empresas quieren trasladar a la nube el 46 % de su infraestructura en los próximos seis meses, por lo que el cumplimiento de esta nueva normativa es un factor clave para el 35 % de empresas europeas en lo que se refiere a la infraestructura en la nube, y muchas empresas pueden verse expuestas si su proveedor cloud no cumple con los requisitos exigidos.
Según la compañía, algunos compradores de servicios en la nube pretenden externalizar el riesgo asociado a la protección de datos, descargando en el procesador de datos la responsabilidad ante posibles infracciones pero desde Interoute aseguran que externalizar completamente en el proveedor de TI puede dar lugar a negociaciones complicadas, porque tanto el controlador de datos como el procesador de datos, que suelen ser la empresa y el proveedor del servicio, están obligados a evaluar los riesgos al procesamiento de los datos personales y tienen la obligación de implementar medidas para reducir los riesgos, garantizando un nivel adecuado de seguridad. También tienen que tener en cuenta el estado de la infraestructura técnica y calibrar los costes de implementación en relación con los riesgos y los datos personales que hay que proteger.
El nuevo reglamento establece que los controladores de datos solo utilicen procesadores de datos que sean capaces de garantizar el cumplimiento de los requisitos de la normativa y la protección de los derechos de las personas. Las empresas tienen que trabajar con proveedores de confianza que cuenten con estrictos controles de seguridad y requisitos de privacidad, por lo que hay que llevar a cabo una completa auditoría de las competencias del proveedor de servicios en la nube, con el fin de conocer su cumplimiento en la normativa. También deben acudir a las acreditaciones de seguridad, el lugar donde se almacenan los datos, las relaciones con los organismos competentes del sector y los códigos de conducta.
Los proveedores cloud también tienen que tener experiencia en el desarrollo, mantenimiento y mejora continua de los procesos necesarios para llevar a cabo actividades a gran escala, e implementar de manera eficiente y rentable los regímenes de seguridad y cumplimiento normativos del GDPR.
Desde Interoute también advierten que los proveedores que llevan mucho tiempo custodiando los datos de sus clientes están mejor posicionados para comprender y abordar los desafíos asociados a la protección de los datos. Por lo que recomiendan, además, preguntar a los proveedores cloud cuántos de sus empleados han obtenido normas de seguridad, por poner algunos ejemplos.