ovh y la protecciÓn de datos personales · de ser transferidos a servicios de computación en la...
TRANSCRIPT
OVH Y LA PROTECCIÓN DE DATOS PERSONALES
OVH, creada en 1999, es hoy uno de los principales actores del cloud, con presencia en 18 países de todo el mundo. Para nosotros, la satisfacción de más de un millón de clientes y la seguridad de sus datos personales son fundamentales.
Cuando usted decide externalizar total o parcialmente con OVH los datos que trata su organización, nos está confiando una parte de sus activos de información. Somos conscientes de los desafíos que esa externalización puede suponer para su empresa, especialmente en materia de conformidad reglamentaria. Por eso, OVH pone a su disposición la información más completa posible sobre la protección de datos personales.
W W W. O V H. C O M
¿ P O R QU É E S I M P O RTA N T E E L E G I R U N B U E N P R O V E E D O R D E C LO U D ?
1
C O M P R O M I S O S D E O V H C O M O E N C A R G A D O D E L T R ATA M I E N TO D E DATO S P E R S O N A L E S
2
C O M P R O M I S O S D E O V H E N M AT E R I A D E S E G U R I DA D3
3
4
7
1 Artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
2 AEPD, Guía para clientes que contraten servicios de Cloud Computing: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud.pdf
1.2. Por motivos de inteligencia competitiva
OVH es un pure player que ejerce una única actividad: el suministro de infraestructuras tecnológicas y, en particular, de cloud computing. No realizamos, ni de forma directa ni a través de otras entidades o filiales, actividades que compitan con las de nuestros clientes, ya sean de venta online o de desarrollo de software. De hecho, creemos que confiar en un proveedor de cloud que diversifica sus actividades no beneficia a las empresas, ya que al mismo tiempo pueden estar financiando a un competidor.
¿ P O R QU É E S I M P O RTA N T E E L E G I R U N B U E N P R O V E E D O R D E C LO U D ?
1.1. Por motivos de conformidad
La elección de un proveedor de soluciones cloud no puede responder solo a criterios téc-nicos. La aparición de reglamentaciones cada vez más restrictivas, como el reglamento eu-ropeo 2016/679, conocido como Reglamento general de protección de datos (RGPD), así como la creciente concienciación sobre los de-safíos éticos y económicos que plantea la lo-calización de los datos de una organización, obligan a todos los actores a prestar atención a aspectos que van más allá de las meras capaci-dades tecnológicas. Además de ofrecer servi-cios potentes y seguros, OVH se compromete a que sus soluciones cumplan con las obliga-ciones reglamentarias pertinentes y a que su funcionamiento sea totalmente transparente.
Este compromiso es crucial para todas aquellas empresas que quieran externalizar su sistema de información, ya que su propia conformidad está condicionada a la de los proveedores a quienes confíen el tratamiento de los datos (los encargados del tratamiento). Así pues, gracias en parte a los compromisos de OVH, usted
también podrá cumplir con sus propias obliga-ciones reglamentarias. Esta exigencia aparece recogida en el artículo 28 del RGPD, donde se indica que el responsable del tratamiento «ele-girá únicamente un encargado que ofrezca ga-rantías suficientes para aplicar medidas técni-cas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento1».
La Agencia Española de Protección de Datos (AEPD), autoridad encargada en España de ve-lar por el respeto de las disposiciones relativas a la protección de datos personales, recomien-da «estudiar con detalle qué parte o partes de los tratamientos que realiza son susceptibles de ser transferidos a servicios de computación en la nube considerando no solo los beneficios, sino igualmente los potenciales riesgos que se van a asumir». En concreto, la empresa debe verificar «de forma previa a la contratación las condiciones en la que se presta el servicio con el fin de determinar si ofrecen un nivel adecua-do de cumplimiento2».
1
3
C O M P R O M I S O S D E O V H C O M O E N C A R G A D O D E L T R ATA M I E N TO D E DATO S P E R S O N A L E S
Se considera que OVH es el «encargado» cuando trata datos personales por cuenta de un responsable. Este suele ser el caso cuando usted almacena información de carácter personal en nuestras infraestructuras.
Compromiso n.º 1: No reutilizar los datos alojados en nuestros servicios
OVH se compromete a tratar los datos personales del cliente con el único fin de la correcta ejecución de los servicios y únicamente siguiendo sus instrucciones.
Los datos alojados en el marco de nuestros servicios son propiedad del cliente. OVH no revende dichos datos ni los utiliza con fines comerciales (como la elaboración de perfiles o el marketing directo).
Compromiso n.º 2: Permitir la reversibilidad de los datos
La reversibilidad de la información (es decir, que el cliente pueda migrar o recuperar sus datos en un formato estándar) no siempre es posible en todas las ofertas cloud del mercado y, en el mejor de los casos, puede convertirse en una ardua tarea debido a los «candados tecnológicos». El cloud se ha convertido en un factor decisivo para las empresas; demasiado importante como para adoptar riesgos o comprometerse de por vida con un único proveedor. Defender un cloud abierto es impedir que un actor dominante imponga sus reglas simplemente porque controla una parte del sector.
Para permitir la reversibilidad y la interoperabilidad, todas las soluciones cloud de OVH se basan en estándares tecnológicos, entre los que se encuentran diversas tec-nologías open source. Así nuestros clientes pueden recuperar sus datos fácilmente.
2
4
Compromiso n.º 4: Garantizar total transparencia en caso de recurrir a encargados
OVH controla toda la cadena del alojamiento, desde la fabricación de los servidores hasta la gestión de los centros de datos. A excepción de las empresas asociadas a OVH, y salvo que en las condiciones particulares de un servicio se estipule lo contra-rio, ningún tercero puede visualizar o acceder a los datos de nuestros clientes.
La lista de empresas asociadas a OVH está disponible en nuestro sitio web, y tam-bién puede solicitarla al equipo de soporte. Estas empresas son, básicamente, las filiales del grupo implantadas en los distintos países: OVH Francia, OVH Alemania...
En nuestro afán de proteger al máximo los datos de nuestros clientes, OVH US no está considerada como una empresa asociada. Así pues, la entidad estadouniden-se se encuentra estrictamente aislada de sus homólogas europeas. La inclusión de cualquier empresa asociada en dicha lista será notificada al cliente con 30 días de antelación.
Por último, si OVH tuviera que recurrir en el futuro a encargados que pudieran visua-lizar o acceder a los datos de los clientes, dicha decisión estaría sujeta al consenti-miento de nuestros clientes.
Compromiso n.º 3: Informar de la ubicación exacta en la que se almacenan y se tratan los datos de
nuestros clientesAl seleccionar un servicio que permita almacenar contenido y, en concreto, datos personales, el sitio web de OVH muestra la localización o la zona geográfica en la que se encuentra el datacenter. Si existen diversas localizaciones o zonas geográfi-cas disponibles, el cliente puede elegir la que desee al contratar el servicio.
Sin embargo, «almacenamiento de datos» no es sinónimo de «tratamiento de datos». El RGPD establece las normas aplicables en materia de «tratamiento» y no de simple «almacenamiento». Por lo tanto, conviene prestar especial atención al uso de estos dos términos.
Cuando usted elige una zona de almacenamiento situada dentro de la Unión Euro-pea, OVH le garantiza que no trata sus datos fuera de la Unión Europea ni en países que la Comisión Europea considere que no garantizan un nivel de protección sufi-ciente de los datos personales con respecto a la protección de la vida privada y los derechos y libertades fundamentales de las personas, o con respecto al ejercicio de los derechos correspondientes (decisión de adecuación). Por otro lado, nos compro-metemos a no tratar nunca sus datos en Estados Unidos.
5
Compromiso n.º 6: Proporcionar documentación completa sobre nuestros servicios
Es fundamental que su proveedor de cloud ofrezca unas garantías adecuadas te-niendo en cuenta la criticidad de los datos tratados. Es uno de los criterios que le permiten a usted cumplir con la reglamentación relativa a la protección de datos personales.
Para poder tomar esta decisión y posteriormente justificarla ante las autoridades de control, deberá disponer de una documentación completa sobre los servicios que ofrecen sus encargados del tratamiento. Por eso, OVH se compromete a proporcio-narle toda la información necesaria: descripción de las medidas de seguridad adop-tadas en sus servicios, certificación de la localización del almacenamiento de datos, etc.
Compromiso n.º 7: Garantizar contractualmente el cumplimiento de nuestros compromisos
Los compromisos de OVH no son solo bonitas promesas, sino que están incluidos contractualmente en nuestro Data Processing Agreement (DPA). Este documento es un anexo a nuestros contratos y está disponible bajo petición para todos nuestros clientes.
Compromiso n.º 5: Informar al cliente en caso de violación de la seguridad de los datos
En OVH aplicamos rigurosas medidas de seguridad con el objetivo de anticiparnos a todos los posibles escenarios, incluyendo una posible violación de la seguridad de los datos.
Si esto sucediera, nos comprometemos a informar cuanto antes a los clientes afec-tados, indicando la naturaleza de la incidencia, sus posibles consecuencias y las me-didas adoptadas para resolverla o minimizar sus riesgos.
6
C O M P R O M I S O S D E O V H E N M AT E R I A D E S E G U R I DA D
OVH adopta todas las medidas de precaución necesarias para preservar la seguridad y la confidencialidad de los datos personales tratados. Nuestro principal objetivo es impedir que dichos datos sean alterados, dañados o que terceros no autorizados accedan a ellos.
3.1. Atribución de las medidas de seguridad
Es fundamental distinguir entre la seguridad de los datos alojados por el cliente y la seguridad de las infraestructuras en las que están aloja-dos dichos datos.
• Seguridad de los datos alojados: El cliente es el único responsable de garantizar la seguridad de los recursos y software que despliegue en el marco del uso de los servicios. OVH pone a disposición de los clientes diversas herramien-tas para ayudarles a securizar sus datos.
• Seguridad de las infraestructuras: OVH se compromete a mantener una seguridad óptima en sus infraestructuras. Ente otras medidas, ha puesto en marcha una política de seguridad de sus sistemas de información (PSSI) y responde a las exigencias de múltiples normas y certi-ficaciones: certificación PCI-DSS, certificación ISO/IEC 27001, certificaciones SOC 1 tipo II y SOC 2 tipo II, etc.
3.2. Medidas de seguridad garantizadas por OVH
Las medidas de seguridad garantizadas por OVH dependen de los servicios contratados. Nosotros nos comprometemos a proporcionar toda la información necesaria para cada uno de estos servicios. Así nuestros clientes pue-den decidir si una solución es adecuada para el tratamiento de datos personales que desean realizar.
OVH se compromete, en todos sus servicios, a:• Adoptar medidas de seguridad física desti-nadas a impedir el acceso a las infraestructuras por personas no autorizadas.• Designar personal de seguridad encargado de velar por la seguridad física de nuestras ins-talaciones las 24 horas del día, los 7 días de la semana.• Implementar un sistema de gestión de los
permisos que permita limitar el acceso a las instalaciones y a los datos exclusivamente a las personas autorizadas, en el marco de sus funciones y de su perímetro de actividad.• Implementar un sistema de aislamiento fí-sico y/o lógico (en función del servicio) de los clientes entre sí.• Establecer procedimientos fuertes de au-tenticación de los usuarios y administradores a través de una estricta política de gestión de las contraseñas y del despliegue de medidas de doble autenticación como YubiKey.• Definir procesos y dispositivos que permitan trazar todas las acciones realizadas en nues-tro sistema de información y, con arreglo a la reglamentación vigente, realizar informes en caso de incidencia que afecte a los datos de nuestros clientes.
3
7
