La norma ISO 27018, publicada en julio de 2014 por la Organización Internacional de Normalización (ISO), establece una serie de medidas de calidad para prestadores de servicios en la nube sobre la Información de identificación personal (IIP). El objetivo de esta nueva norma se basa en fortalecer la privacidad de los datos personales de los usuarios, incorporando nuevos sistemas de protección.
Algunas de las principales disposiciones que establece la nueva norma son:
- Los datos personales únicamente puede ser tratados para fines de marketing o publicidad con el consentimiento expreso del cliente. La prestación del servicio no puede condicionarse a la prestación de dicho consentimiento.
- El proveedor de servicios en la nube debe comunicar a sus clientes los nombres de sus sub-encargados de tratamiento y los lugares en los que eventualmente los datos personales puedan ser procesados (bien por el propio encargado o por cualquiera de sus sub-encargados).
- El proveedor de servicios en la nube debe asistir a sus clientes en la gestión de las solicitudes que éstos reciban para el acceso, rectificación o cancelación de datos personales de terceros.
- Debe implementarse una política para la devolución, transmisión o disposición de datos personales, por ejemplo, cuando concluye el servicio.
- Los servicios serán sometidos a auditorías de seguridad de forma periódica (o cuando tenga lugar algún cambio significativo en relación con la seguridad de la información).
- Deberán suscribirse acuerdos de confidencialidad con el personal que pueda acceder a datos personales y se les deberá proporcionar formación adecuada.
- Con carácter general, el proveedor de servicios en la nube que actúe como encargado de tratamiento deberá consultar a su cliente con carácter previo a la realización de una comunicación de datos, salvo que dicha consulta esté prohibida por ley.
Diego Berardo, vicepresidente de CESSI, comentaba en la Jornada ¿Para qué la Nube? las novedades que trae la nueva norma: “Antes de la norma no existía un marco de referencia internacionalmente reconocido para la protección de IIP almacenada, y esta norma otorga especificidad a los prestadores de servicios de este tipo, para la evaluación de riesgos y la implementación de controles de última generación para la protección de IIP almacenada en la nube”.
Por último es preciso indicar que la ISO 27018 es aplicable a todas las organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que proporcionan servicios de procesamiento de información a través de la nube. En este sentido, cabe resaltar que la seguridad en la nube es un esfuerzo conjunto entre el sector público y privado, en el que se deben proteger los derechos de los usuarios y ciudadanos.
