Facebook Linkedin Twitter Instagram Youtube Telegram

Cuando las nubes oscurecen la soberanía de los datos

Por Neil Thacker, Director global de privacidad y protección de datos de Netskope.

Cuando los datos circulan dentro y fuera de los servicios en la nube (y por fronteras geopolíticas) a gran velocidad, comprender y gestionar dónde residen los datos de tu organización (y bajo qué jurisdicción legal se encuentran) no es una preocupación menor.

La soberanía de los datos es un debate complicado que a menudo debe intentar anticiparse a situaciones futuras inciertas y a distintos sistemas jurídicos internacionales. Y puede parecer que estamos en un terreno movedizo: normativas como el RGPD, la Ley de Privacidad del Consumidor de California y un número cada vez mayor de normas nacionales de localización de datos (que a veces entran en conflicto entre sí) implican que lo que ayer era válido, hoy puede no serlo. Sin embargo, determinar la titularidad de los datos, en particular el acceso y almacenamiento por parte de terceros, es un elemento fundamental de una sólida gobernanza de datos y, por tanto, requiere un enfoque proactivo y estratégico en la gestión de datos y proveedores.

Cuando evaluamos a proveedores de tecnología, especialmente a aquellos que ofrecen servicios en la nube, siempre aconsejo a los DPO y a los CISO que profundicen en los términos y condiciones de sus políticas de tratamiento de datos. No basta con preguntar si cumplen el RGPD. El diablo está en los detalles. A continuación, veremos algunas áreas clave que hay que examinar y las preguntas que hay que hacer:

La privacidad desde el diseño: integrada, no añadida

La privacidad por diseño es un principio que consiste en tener en cuenta la privacidad en todas las fases del proceso de ingeniería del sistema, en lugar de incorporarla a la arquitectura o mejorarla con procesos posteriores. Su pariente, la «seguridad desde el diseño», está recopilando una útil selección de marcos y directrices para ayudar a las organizaciones a comprender las mejores prácticas de sus proveedores (por ejemplo, el marco Secure by Design de la Agencia de Seguridad Cibernética e Infraestructura de EE. UU.), pero la privacidad desde el diseño no está tan claramente definida por el momento.

En resumen, se trata de buscar pruebas de cómo aborda un proveedor los datos mucho antes de que los recopile. Al examinarlos, queremos conocer su gobernanza y sus controles. El objetivo es determinar si tienen una política claramente definida sobre el uso de los datos para entrenar modelos de IA, por ejemplo: ¿utilizarán nuestros datos, una versión anonimizada de los mismos o nunca los utilizarán? Son cuestiones que los proveedores responsables habrán considerado antes que nosotros y deben disponer de una política y una documentación claras que podamos verificar.

Algunas preguntas que se le pueden hacer a un proveedor son:
  • ¿Tiene documentación detallada que especifique qué datos recopila, con qué finalidad y durante cuánto tiempo los conserva?
  • ¿Puede proporcionar documentación o ejemplos de las evaluaciones de impacto en la privacidad (EIP) de sus servicios?
  • ¿Ofrece funcionalidades que permitan al cliente aplicar sus propios requisitos de privacidad dentro de su plataforma?

Un proveedor que realmente adopte la privacidad desde el diseño será transparente sobre sus procesos y estará interesado en demostrar cómo construye sus soluciones teniendo en cuenta la privacidad.

Minimización de datos: Menos es más

Uno de los principios fundamentales de la protección de datos, que desempeña un papel importante en la consecución de la soberanía de los datos, es la minimización de los datos. En pocas palabras, queremos que cualquier proveedor recopile y procese únicamente los datos estrictamente necesarios para un fin determinado. No queremos que los datos se faciliten de forma permanente, sino que se acceda a ellos temporalmente. Debemos examinar el diseño de la arquitectura de cualquier servicio y cuestionar cualquier punto en el que se almacenen datos. Se puede conseguir mucho procesando en memoria en lugar de almacenando, y se accederá a los datos durante milisegundos en lugar de retenerlos durante minutos o más. En última instancia, queremos asegurarnos de que seguimos siendo los custodios de nuestros propios datos y no tenerlos almacenados por otros.

Cuando contactemos con cualquier proveedor, preguntémosle:
  • ¿Cómo garantizan la minimización de datos en sus servicios?
  • ¿Qué mecanismos existen para evitar la recopilación o retención de datos innecesarios?
  • ¿Puede nuestra organización optar por no participar en los procesos que requieren que almacenen nuestros datos sin dejar de recibir su servicio?

Al reducir la cantidad de datos procesados por un tercero, se reduce intrínsecamente nuestra exposición a los posibles problemas relacionados con la soberanía de los datos. Un proveedor que defiende la minimización de datos demuestra un compromiso con la privacidad desde el diseño. Si se muestran reticentes o no tienen procesos claros, es una señal de alarma. También es una señal de alarma si no podemos identificar fácilmente a alguien de su equipo que pueda responder claramente a nuestras preguntas.

Tecnologías de mejora de la privacidad (PET, por sus siglas en inglés)

La minimización de datos consiste en no recoger más datos de los necesarios, mientras que las PET son una forma útil de proteger los datos que sí es necesario recopilar para la prestación de un servicio. Entre estas tecnologías se encuentran la anonimización o seudonimización de datos, la redacción, la supresión, la generalización, la perturbación y la tokenización, todas ellas incluso más valiosas que su puntuación a la hora de jugar a Cifras y Letras.

Cuando los proveedores recurren a las PET, esencialmente extraen la información esencial de los datos sin necesitarlos en realidad.

Desde el punto de vista de la soberanía, estos métodos pueden permitir al proveedor de servicios mantener los datos dentro de los centros de datos ubicados en el territorio soberano elegido y transportarlos solo a otros territorios que hayan sido anonimizados o separados de sus etiquetas identificativas. La idea es que, por sí solo, el conjunto de datos anonimizados carece de valor si se captura o analiza.

Cuando se evalúa a un proveedor, se ha de preguntar lo siguiente:
  • ¿Incorpora alguna PET en su oferta de servicios?
  • Una vez aplicadas las PET, ¿qué datos o metadatos saldrán exactamente de la región soberana?
  • ¿Pueden dar ejemplos de cómo se aplican estas tecnologías concretamente a nuestros datos?
  • ¿Existen opciones para que apliquemos nuestras propias PET como nivel de seguridad adicional junto con tus servicios?

Cualquier proveedor creíble que quiera que le confiemos nuestros datos debe ser capaz de articular una larga lista de PET integradas en su arquitectura.

Es importante que vayan de la mano de la minimización de datos: no tiene mucho sentido anonimizar datos (para el entrenamiento de IA, por ejemplo) si el proveedor tiene que transportar el extenso conjunto de datos original fuera del territorio soberano para procesarlos.

Visibilidad de los subprocesadores

Uno de los problemas más comunes a la hora de determinar la soberanía de los datos es la falta de visibilidad de los subprocesadores.

 Cuando contratamos a un proveedor de tecnología, a menudo depende de otros proveedores externos (subprocesadores) para poder prestar sus servicios. Por tanto, es posible que algunos de nuestros datos se almacenen indirectamente en terceras empresas que nunca hemos analizado directamente. Aunque esto puede llevar mucho tiempo, debería ser un campo de interés no negociable para cualquier empresa que se tome en serio la soberanía de los datos y tenga un plan de gobernanza de datos completamente trazado.

Debemos preguntar a cada proveedor:
  • ¿Puede proporcionar una lista completa de todos los subprocesadores implicados en la prestación de su servicio, incluida su ubicación?
  • ¿Cuáles son los procedimientos para investigar y supervisar a los subprocesadores?
  • ¿Tenemos derecho a oponernos a nuevos subprocesadores o a aprobarlos?
  • ¿Cómo se asegura de que los subprocesadores se adhieren al mismo nivel de protección de datos y normas de soberanía que en su empresa?

No pretendo afirmar que todos los proveedores estén preparados para responder fácilmente a estas preguntas. De hecho, las empresas deben determinar en sus propios planes de gobernanza de datos si exigen comprobaciones estrictas a los proveedores para todos los tipos de datos o si algunas categorías están sujetas a un mayor control. Hay que insistir en obtener respuestas claras y en incluir cláusulas contractuales que nos proporcionen visibilidad e, idealmente, cierto control sobre la cadena de procesamiento. Sin ello, se crea un punto ciego importante en lo que respecta a la estrategia de soberanía de datos.

La base contractual

El contrato de tratamiento de datos (Data Processing Agreement o DPA) con un proveedor constituye el fundamento jurídico. En él se describen las responsabilidades de cada parte en relación con el tratamiento de los datos personales. En lo que respecta a la soberanía de los datos, el DPA debe ser preciso y exhaustivo.

Asegúrese de que haya definiciones claras de las actividades de tratamiento de datos y de que el DPA especifique explícitamente qué datos se van a procesar, con qué finalidad y durante cuánto tiempo. Las cláusulas de localización de datos son el lugar adecuado para establecer cualquier requisito específico sobre la residencia de los datos, por lo que, si la soberanía de los datos es importante para su organización (o si tiene requisitos de cumplimiento), asegúrese de que estén claramente articulados y acordados en el DPA.  Dichas cláusulas deben incluir compromisos para procesar los datos solo dentro de regiones geográficas específicas.

Según mi experiencia, un DPA bien negociado es una herramienta eficaz para gestionar los riesgos relacionados con la soberanía de los datos. No hay que tener miedo de rechazar el lenguaje repetitivo y exigir cláusulas que protejan realmente los datos de tu organización.

Después de llegar hasta aquí, ya sabrá que alcanzar una gestión responsable de los datos con vistas a los objetivos de soberanía no siempre es fácil.  Requiere mucho tiempo y es posible que tenga que estar preparado para tratar con compañeros frustrados cuando el proveedor al que intentan incorporar no les facilite la información necesaria.  Manténgase firme en la defensa de las políticas acordadas por su organización e intente evitar hacer excepciones, ya que es la insistencia la que hace subir los estándares en nuestro sector.

Si la soberanía de los datos es un objetivo para su empresa, formule las preguntas adecuadas, examine las prácticas de los proveedores y aproveche los acuerdos contractuales para asegurarse de tener el control y la visibilidad de los viajes de sus datos a través de las fronteras digitales.

Imagen de Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.