White paper

Protección de los datos

Guía rápida y cómo los proveedores de TIC pueden ayudarle

2

Contents1. No se trata simplemente de cumplir las leyes, sino

de sumarse a una tendencia en auge 32. ¿Qué datos son importantes y quién tiene

responsabilidad sobre ellos? 33. ¿Qué deben hacer su empresa y sus proveedores de TIC? 44. Apéndice A 5

¿Qué porcentaje de su información empresarial debe mantener como confidencial? ¿Qué necesita saber para proteger esos datos? ¿Y qué papel desempeñan sus proveedores de servicios TIC?

Esta guía pretende resolver las dudas de pequeñas y medianas empresas (PYMES) al respecto. Preparamos el terreno, le indicamos algunos principios útiles y le explicamos el papel que juegan sus partners de TIC.

3

Hoy en día se recopilan más datos de negocio que nunca. Piense en su propia empresa: los planes de negocio, los mensajes de correo electrónico y documentos confidenciales y, por supuesto, los datos privados de sus clientes, que no desea compartir con terceros.

El buen o mal uso que se da a los datos protagoniza titulares a diario. Sorprendentes infracciones de seguridad, errores bochornosos y meteduras de pata informáticas provocan mala prensa y conllevan penalizaciones para las empresas de forma habitual en diferentes puntos del globo.

Los legisladores están interesados en ofrecer mecanismos de protección; de hecho, la Unión Europea está trabajando en un proyecto de ley y cada país cuenta con su propia legislación al respecto. No obstante, las autoridades tienen dificultades para mantener el vertiginoso ritmo de avance tecnológico, y con cada innovación surgen nuevos retos.

Los legisladores tampoco lo tienen fácil a la hora de mantener un equilibrio entre la privacidad de los ciudadanos y el modo en que los datos permiten a una sociedad del siglo XXI responder de forma dinámica a las necesidades y deseos de esos mismos individuos.

La motivación de una protección de datos más eficaz en el seno de la Unión Europea no es nueva. Se trata de una tendencia que afecta tanto a empresas como a autoridades públicas, y que consiste en el reconocimiento de la importancia de responsabilizarse de los datos.

Las empresas toman la iniciativaNumerosas empresas están implementando sus propios programas de protección de datos de largo alcance, que abarcan no solo su organización sino también a las empresas proveedoras de servicio TIC. Estos programas reflejan las obligaciones legales e incluyen las políticas corporativas que deben cumplir los empleados y partners de negocio.

Una política de protección de datos compleja resultaría excesiva para la mayoría de empresas de menor tamaño. Aún así, es importante que su organización aborde la cuestión de un modo práctico, ponderado y conforme a la legislación. Los servicios que proporcionan los provedores de servicios TIC también son de relevancia.

¿Por dónde debería empezar?

Es posible que su empresa deba controlar datos personales. Muy probablemente, de vez en cuando sus empleados añadirán, modificarán y eliminarán determinados datos. Su empresa es responsable de los datos que almacena y del uso que les da, de modo que debe asumir el papel de “controlador de datos”.

Esta información personal se procesa además con distintas tecnologías. Por ejemplo, los archivos se utilizan en aplicaciones. Una vez guardados, pueden trasladarse desde un portátil al servidor a través de la red empresarial. Es importante proteger los datos mientras se crean, transportan y almacenan. Esta función de “procesador de datos” podría desempeñarla su empresa, un proveedor de TIC o una combinación de ambos.

1. No se trata simplemente de cumplir las leyes, sino de sumarse a una tendencia en auge

2. ¿Qué datos son importantes y quién tiene responsabilidad sobre ellos?

Información sensible para el negocio por motivos comerciales

Podría incluir diseños, precios y contratos de producto, así como cualquier obligación legal para con sus clientes.

Datos personales recopilados sobre individuos

Podría tratarse de datos relativos a clientes, empleados, contratistas o proveedores. Incluyen mensajes de correo electrónico, registros de llamadas e información que los usuarios introducen ellos mismos.

Datos amparados por la normativa del sector

Las empresas deben mantener registros financieros durante un periodo de tiempo determinado; dichos registros podrían ser digitales. Determinadas profesiones cuentan con reglamentos específicos para la retención de datos.

Cada empresa es un mundo, pero existen algunos principios básicos que le servirán de guía.

Es muy probable que su organización cuente con tres tipos de datos diferentes que debe salvaguardar.

4

La directiva 95/46 de la Unión Europea establece un estándar mínimo de protección de datos personales en toda la UE. Algunos Estados miembros han adoptado un enfoque más estricto en su legislación local. Cada Estado miembro de la UE cuenta con una unidad de control para supervisar el cumplimiento de las leyes de protección de datos en el país.

Pasos importantes que debe darSu empresa necesita proteger los datos ante la destrucción accidental o intencionada, la pérdida, la alteración y la divulgación, para cumplir con la legislación nacional. Esta tarea puede llevarse a cabo de varias formas:

•Siguiendo la legislación de su país en materia de protección de datos (consulte las fuentes de información adicional indicadas en el apéndice A)

• Implementando políticas que los empleados deberán cumplir para mantener los datos seguros

•Garantizando que cualquier tecnología de su propiedad es conforme a este objetivo

•Asegurándose de que sus proveedores de servicios TIC observan estos requisitos durante el tratamiento de sus datos.

Cómo pueden ayudarle sus proveedores de TIC

Es responsabilidad suya asegurarse de que sus proveedores de TIC cumplen con su política.

Existen dos modos de hacerlo:

1. Con una garantía por escrito Sus proveedores de TIC pueden proporcionarle garantía escrita de que el servicio que ofrecen protege adecuadamente sus datos. Para ello, pueden utilizar material de marketing, garantías contractuales o estándares de seguridad como ISO27001 y otras certificaciones.

2. Mediante auditoría El servicio de su proveedor de TIC puede someterse a auditorías internas o externas para demostrar que se adecúa a los estándares de cumplimiento de normativas. La auditoria cubrirá la empresa, las políticas, los procesos y los sistemas del proveedor de TIC. Los proveedores de TIC pueden cobrar cargos adicionales por la realización de una auditoría externa.

Ambas opciones son válidas, a no ser que la legislación local vigente especifique lo contrario. Por ejemplo, la legislación española de protección de datos requiere que los controladores y procesadores de datos se sometan a una auditoría externa cada dos años, aunque es el único país que requiere esta medida concreta. Consulte la información referente a su país en el apéndice A.

3. ¿Qué deben hacer su empresa y sus proveedores de TIC?

En esta tabla se detalla quién suele desempeñar cada papel a la hora de controlar o procesar datos personales.

Modelo de servicio de TIC

¿Quién hace qué?Controlador de

datosProcesador de datos

Aplicaciones Middleware y sistema operativo

Entorno de máquina virtual

Internamente Su empresa Su empresa Su empresa Su empresa

Colocation Su empresa Su empresa Su empresa Su empresa

Dedicated Managed Hosted Su empresa Su empresa Partner de TIC Partner de TIC

Infraestructura como servicio Su empresa Su empresa Partner de TIC Partner de TIC

Software como servicio Su empresa Partner de TIC Partner de TIC Partner de TIC

Los papeles y las responsabilidades dependen del modelo en el que se basen sus servicios de TIC; por ejemplo, no serán iguales si toda su TIC se gestiona de forma interna que si estos servicios se los proporciona un partner de TIC.

Más informaciónSi desea obtener información adicional acerca de cómo las soluciones de Colt pueden ayudarle a proteger sus datos, póngase en contacto con su responsable comercial de Colt.

5

4. Apéndice A

La directiva 95/46 de la Unión Europea establece un estándar mínimo de protección de datos personales en toda la UE. Algunos Estados miembros han adoptado un enfoque más estricto en su legislación local.

Encontrará más detalles y orientación en los siguientes enlaces a los sitios web oficiales de cada país.

Consulte la directiva 95/46 de la Unión Europea que encontrará aquí:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046

Austria https://www.dsk.gv.at/ Bélgica http://www.privacycommission.be/Dinamarca http://www.datatilsynet.dk/ Francia http://www.cnil.fr/Alemania http://www.bfdi.bund.de/Irlanda http://www.dataprotection.ie/Italia http://www.garanteprivacy.it/web/guest/homePortugal http://www.cnpd.pt/España http://www.agpd.es/Suecia http://www.datainspektionen.se/Suiza http://www.edoeb.admin.ch/datenschutz/Países Bajos http://www.cbpweb.nl/Reino Unido http://www.ico.org.uk/

© 2014 Colt Technology Services Group Limited. The Colt name and logos are trade marks. All rights reserved.

El programa “Safe Harbor” constituye un mecanismo voluntario que permite a las empresas estadounidenses certificar su adhesión a un conjunto de obligaciones de protección similar al de la legislación europea.

La Unión Europea considera que estos acuerdos son garantía de protección adecuada para la información personal transferida a los Estados Unidos. Puede consultar los datos de las empresas registradas en Safe Harbor, en el sitio web de Safe Harbor.

La Comisión Federal de Comercio de Estados Unidos es la responsable de la aplicación de Safe Harbor. No

obstante, los servicios financieros y las empresas de telecomunicaciones estadounidenses quedan excluidos del programa. La certificación Safe Harbor sólo tiene validez por un año. Si utiliza los servicios de alguna de estas empresas estadounidenses, compruebe que su certificación se encuentra actualizada.

Como empresa europea no sujeta a la jurisdicción estadounidense, Colt tiene sus Data Centres en Europa y se encuentra fuera del ámbito del programa Safe Harbor. Como ya se ha explicado en los párrafos anteriores, Colt cumple con la legislación en materia de protección de datos de la Unión Europea y sus estados miembros.

La ley USA Patriot Act de 2001, también conocida como la Ley Patriota, fue consecuencia directa de los eventos acontecidos el 11 de septiembre de 2001 en los Estados Unidos. Permite a las fuerzas del orden federales de los Estados Unidos obtener y compartir información relativa a servicios de inteligencia extranjera o contraespionaje.

Pero los Estados Unidos no son los únicos que han aprobado leyes influenciadas por la Ley Patriota. Los estados miembros de la Unión Europea también cuentan

con disposiciones legales similares o incluso más exhaustivas que les permiten acceder a los datos en el contexto de la aplicación de la ley y la seguridad nacional.

El riesgo de que las autoridades estadounidenses soliciten datos recopilados por empresas europeas como Colt, con algún vínculo con los Estados Unidos, es bastante realista. Tales solicitudes estarían amparadas por la Ley Patriota. No obstante, de acuerdo con la legislación europea, Colt debería responder negativamente a tales solicitudes.

¿Qué ocurre con el acuerdo “Safe Harbor” entre Estados Unidos y la Unión Europea?

¿Y que hay de la ley USA Patriot Act de 2001?

ContactoTeléfono: 900 800 607 | Email | www.colt.net/es

Acerca de ColtColt es la plataforma de información líder en Europa, lo que permite a sus clientes suministrar, compartir, procesar y almacenar la información esencial de sus empresas. Líder consolidado en el suministro de servicios integrados de redes e informática a grandes corporaciones, medianas empresas y mayoristas, Colt opera una red de 44.000 km, presente en 22 países, que incluye redes de área metropolitana en 39 de las principales ciudades europeas, con conexiones de fibra en 19.000 edificios y 20 Data Centres de Colt.

Colt Data Centre Services vio la luz en 2010 con el fin de ofrecer soluciones de Data Centre innovadoras y de gran calidad en las ciudades donde Colt tiene presencia o en donde se encuentra el propio cliente. Nuestros innovadores Data Centres son rápidos de implementar, flexibles y altamente eficientes.

Además de su capacidad de venta directa, Colt cuenta con cuatro canales de venta indirecta a través de agentes, franquicias, distribuidores y mayoristas que incluyen operadoras, proveedores de servicios, VARs y vendedores de servicios de voz.

Colt cotiza en el mercado de valores de Londres (Colt). Puede encontrar más información sobre Colt y sus servicios en www.colt.net/es