Cloudflare suma una nueva validación de privacidad del Código de conducta de la nube de la UE, que demuestra su conformidad con el RGPD para fomentar la confianza en los servicios en la nube
Las leyes en materia de privacidad en Internet difieren en todo el mundo, y se ha escrito mucho en los últimos años sobre las transferencias transfronterizas de datos. Muchas normativas exigen que exista un nivel de protección adecuado antes de que la información personal circule por todo el mundo, como ocurre con el Reglamento general de protección de datos (RGPD) europeo. La ley pone muy alto el listón sobre la forma en la que las organizaciones deben tratar la información personal con sumo cuidado. En el proceso de elaboración del reglamento, los legisladores contaron con que los datos personales cruzarían fronteras. El capítulo V del reglamento aborda específicamente esas transferencias.
Si bien la transparencia sobre el lugar donde se almacena la información personal es importante, también es de vital importancia la forma en la que se trata la información personal y la manera en la que se mantiene segura. En Cloudflare, creemos en la protección de la privacidad de la información personal en todo el mundo, y damos a nuestros clientes las herramientas y la posibilidad de elegir cómo y dónde se procesan sus datos. En pocas palabras, exigimos que los datos se traten y protejan de forma segura y confidencial tanto si nuestros clientes deciden trasferir información por todo el mundo como si prefieren que permanezca en un solo país.
Hoy, es un placer anunciar que hemos completado con éxito nuestro proceso de evaluación y hemos recibido el distintivo de cumplimiento del Código de conducta de la nube de la UE, que demuestra nuestra conformidad con el RGDP en lo que respecta a la protección de los datos personales en la nube en todo el mundo.
La forma en la que se trata la información personal es tan importante como el lugar del mundo donde se guarda
Los mismos legisladores del RGPD también anticiparon que las organizaciones desearían tratar y proteger la información personal de forma coherente, transparente y segura. El artículo 40, denominado "Códigos de conducta", comienza así:
"Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas".
El uso de códigos de conducta para demostrar el cumplimiento de la legislación en materia de privacidad tiene también un largo recorrido. Al igual que el RGPD, la directiva pionera sobre protección de datos de la UE adoptada en 1995, oficialmente la Directiva 95/46/CE, también incluía disposiciones para que se presentaran proyectos de códigos comunitarios a las autoridades nacionales, y para que dichos códigos fueran aprobados de manera oficial por un organismo oficial de la Unión Europea.
Un código de conducta oficial en el RGPD
Tuvieron que pasar cinco años desde la adopción del RGPD en 2016 para que se aprobara oficialmente el primer código de conducta. Finalmente, en mayo de 2021, el Comité europeo de protección de datos, un grupo formado por representantes de todas las autoridades nacionales de protección de datos de la Unión, aprobó el "Código de conducta en materia de protección de datos de la UE para proveedores de servicios en la nube", conocido como el Código de conducta de la nube de la UE (o "CdC de la nube de la UE" para abreviar), que es el primer código de conducta oficial del RGPD. La autoridad supervisora belga presentó el CdC de la nube de la UE al consejo en nombre de SCOPE Europe, la organización que colaboró en el desarrollo del código a lo largo de varios años, junto con las aportaciones de la Comisión Europea, miembros de la comunidad de computación en la nube y autoridades europeas de protección de datos.
El código es un marco para compradores y proveedores de servicios en la nube. Los compradores pueden entender de forma sencilla cómo tratará la información personal un proveedor de servicios en nube. Por su parte, los proveedores de servicios en la nube se someten a una evaluación independiente para demostrar a los compradores de sus servicios que tratarán la información personal de forma segura y codificada. En el caso del CdC de la nube de la UE, y solo porque el código ha recibido aprobación formal, los compradores de servicios en la nube que cumplan el código sabrán que el proveedor trató la información personal del cliente de conformidad con el RGPD.
Qué incluye el código
El código establece unos requisitos claros para que los proveedores de servicios en la nube apliquen el artículo 28 del RGPD ("Encargado del tratamiento") y los artículos relacionados. El marco abarca las políticas de protección de datos, así como las medidas de seguridad técnicas y organizativas. Hay secciones que incluyen los términos y condiciones de los proveedores, la confidencialidad y el mantenimiento de registros, los derechos de auditoría del cliente, la forma de gestionar posibles fugas de datos, y la manera en la que el proveedor aborda el subprocesamiento, cuando se subcontrata a un tercero para procesar datos personales junto con el procesador de datos principal, entre otros.
El marco también incluye la forma en la que se pueden transferir legítimamente los datos personales a nivel internacional. Si bien el CdC de la nube de la UE incluye la garantía de que este proceso se hace conforme a la legislación, el código en sí mismo no es una "salvaguarda" o una herramienta para las transferencias a terceros países. Una actualización futura del código podría ampliarlo con un módulo adicional, pero a marzo de 2023 sigue en fase de desarrollo.
Profundicemos en algunos de los requisitos del CdC de la nube de la UE y en cómo puede demostrar la conformidad con el RGPD
Ejemplo n.º 1
Uno de los requisitos del código es disponer de procedimientos documentados para ayudar a los clientes con sus "evaluaciones de impacto en la protección de datos". Según el RGPD son:
"...una evaluación del impacto de las operaciones de tratamiento previstasrelativa a la protección de los datos personales". Artículo 35.1, RGPD
Por tanto, un proveedor de servicios en la nube debe disponer de un proceso escrito para ayudar a los clientes a realizar sus propias evaluaciones. De esta manera, el proveedor de servicios está demostrando también su compromiso con las rigurosas normas de protección de datos del RGPD. Cloudflare cumple este requisito, y además promueve la transparencia mediante la publicación de los detalles de los subprocesadores utilizados en el tratamiento de datos personales, e indicando a los clientes que los informes de auditoría están disponibles en el panel de control de Cloudflare.
También hay otra referencia en el RGPD a los códigos de conducta en el contexto de las evaluaciones de impacto de la protección de datos:
"El cumplimiento de los códigos de conducta aprobados ... se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas..., en particular a efectos de la evaluación de impacto relativa a la protección de datos". Artículo 35.8, RGPD
Así que, a la hora de preparar una evaluación de impacto, un cliente deberá tener en cuenta que un proveedor de servicios en la nube cumple un código de conducta aprobado. ¡Otra forma de que tanto los clientes como los proveedores de servicios en la nube se beneficien del uso de códigos de conducta!
Ejemplo n.º 2
Otro ejemplo de requisito del código es que cuando los proveedores de servicios en la nube proporcionen funciones de encriptación, estas se deberán aplicar de forma efectiva. El requisito aclara además que esto se debe llevar a cabo siguiendo técnicas de encriptación sólidas y de confianza, teniendo en cuenta el estado de la técnica y evitando debidamente el acceso abusivo a los datos personales de los clientes. La encriptación es fundamental para proteger los datos personales en la nube. Sin ella, o con una encriptación deficiente o anticuada, la privacidad y la seguridad no son posibles. Por tanto, a la hora de utilizar y revisar la encriptación debidamente, los proveedores de servicios en la nube ayudan a cumplir los requisitos del RGPD en materia de protección de los datos personales de sus clientes.
En Cloudflare, estamos especialmente orgullosos de nuestra trayectoria. Ponemos a disposición de todos nuestros clientes una encriptación eficaz, de forma gratuita. Ayudamos a nuestros clientes a comprender el cifrado y, lo que es más importante, nosotros mismos utilizamos algoritmos y técnicas de encriptación sólidos y fiables para proteger los datos personales de los clientes. Contamos con un equipo de investigación formal compuesto por investigadores académicos y criptógrafos que diseñan e implementan protocolos de encriptación de última generación concebidos para proporcionar una protección eficaz contra ataques activos y pasivos, incluso con recursos que se sabe que están a disposición de las autoridades públicas. Además, utilizamos infraestructura y autoridades de certificación de clave pública de confianza. Este mes, hemos anunciado que la criptografía poscuántica debería ser gratis, y por eso la hemos incluido de forma gratuita por tiempo ilimitado.
Más información
El código contiene requisitos descritos en 87 declaraciones, denominadas controles. Puedes encontrar más información sobre el CdC de la nube de la UE, descargar una copia completa del código y seguir las novedades en https://eucoc.cloud/en/home.
Por qué es importante para los clientes de Cloudflare
Cloudflare se unió a la Asamblea general del Código de conducta de la nube de la UE el pasado mes de mayo. Los miembros de la Asamblea general emprenden un proceso de evaluación que incluye una declaración de que los servicios en la nube seleccionados cumplen el Código en la nube de la UE y, una vez SCOPE Europe completa el proceso de evaluación independiente, el organismo de supervisión acreditado, reciben el distintivo de cumplimiento del Código de conducta de la nube de la UE.
Cloudflare ha completado el proceso de evaluación y se han verificado 47 de sus servicios en la nube.
Servicios de Cloudflare que están dentro del alcance del Código de conducta de la nube de la UE:
EU Cloud CoC Verification-ID: 2023LVL02SCOPE4316.
Se ha verificado que los servicios cumplen el Código de conducta de la nube de la UE,Id. de verificación: 2023LVL02SCOPE4316.Para más información, visita https://eucoc.cloud/en/public-register
Y esto no queda aquí...
El Código de conducta de la nube de la UE es la última validación de privacidad que se suma a nuestra creciente lista de certificaciones en materia de privacidad. Hace dos años, Cloudflare fue una de las primeras organizaciones de nuestro sector en recibir la nueva certificación de privacidad ISO, ISO/IEC 27701:2019, y la primera empresa de soluciones de rendimiento y seguridad en Internet en obtenerla. El año pasado, Cloudflare consiguió la certificación de una segunda norma internacional de privacidad relacionada con el tratamiento de datos personales, la ISO/IEC 27018:2019. Más recientemente, en enero de este año, Cloudflare completó nuestra auditoría ISO anual con Schellman, un auditor externo. Nuestro nuevo certificado, que incluye las normas ISO 27001:2013, ISO 27018:2019 e ISO 27701:2019, ya está disponible y los clientes pueden descargarlo desde el panel de control de Cloudflare.
¡Y esto no es todo! Como publicamos en el blog en enero con motivo del Día de la privacidad de los datos, estamos siguiendo con interés el progreso de la nueva certificación Global Cross Border Privacy Rules (CBPR). Esta propuesta de certificación mundial única podría bastar para que las empresas participantes transfirieran de forma segura datos personales entre los países participantes de todo el mundo, y visto el apoyo de varios Gobiernos de Norteamérica y Asia, parece muy prometedora.
Certificaciones de Cloudflare
Descubre cómo los clientes pueden descargar una copia de nuestras certificaciones e informes desde el panel de control de Cloudflare. Los clientes nuevos también pueden solicitarlos a su representante de ventas.
Para obtener información actualizada sobre nuestras certificaciones e informes, visita nuestro Centro de confianza.