El 25 de mayo se ha cumplido un año desde la entrada en vigor del Reglamento General de Protección de Datos (GDPR) de la UE. Entonces, ¿Qué ha cambiado para los propietarios de centros de datos?

Uno de los mayores ajustes bajo GDPR fue la responsabilidad del "procesador" de los datos para ayudar al "controlador" a proteger la información privada. El impacto resultante en los centros de datos ha dependido del tipo de servicio que ofrecen y de lo cerca que están de la información en sí misma y de los sistemas en los que reside.

Pero en general, GDPR ha llevado a los clientes a trabajar más estrechamente con los centros de datos, preguntando más sobre dónde se almacena su información. De hecho, el año pasado ha habido una afluencia de clientes que solicitan visitas al sitio para completar evaluaciones de riesgo detalladas, según los propietarios del centro de datos.

Vicky Withey, gerente de cumplimiento de Node4, un centro de datos del Reino Unido ha declarado que “Durante el último año, hemos tenido un aumento en las auditorías de clientes: la gente quiere que se le muestre y complete un cuestionario. Preguntan: ¿Cómo proteges los datos y el acceso a los racks? A veces, los clientes desean una referencia específica en el contrato para confirmar que tienen un requisito de auditoría.”

Si bien los proveedores de colocación pura no son procesadores de datos, deben garantizar una seguridad física robusta. Esto también les permite procesar pequeñas cantidades de datos a través de imágenes de CCTV y otras medidas en el sitio.

Timothy Arnold es jefe de colocación en Six Degrees Group, que opera tres centros de datos en el Reino Unido, además de proporcionar algunos servicios gestionados adicionales.

"Escribimos a nuestros clientes para decirles que habría cambios en el tiempo de retención de datos", dice Arnold. "Solíamos mantener los registros de acceso durante un año y ahora no necesitamos mantenerlos durante tanto tiempo: tras la implementación de GDPR, conservamos los datos solo durante 90 días".

Six Degrees también tuvo que agregar nuevos términos y condiciones a los contratos de los clientes y brindar capacitación a su personal sobre cómo manejar los datos.

Policias y procedimientos

EUflag.original.jpg

A lo largo del tiempo previo a GDPR y durante el período transcurrido desde entonces, ha habido una "aceptación masiva" en las revisiones y actualizaciones de políticas, dice Fredrik Forslund, vicepresidente de soluciones empresariales y de borrado de la nube en Blancco. Su compañía se especializa en servicios de centros de datos para el final del ciclo de vida, incluido el borrado seguro y la desactivación para eliminar de forma permanente los datos de las unidades, los LUN, los servidores y las máquinas virtuales.

"Si usted es un centro de datos y su modelo de negocio es proporcionar servicios basados ​​en la infraestructura, ha habido más inversiones en el aspecto legal", dice Forslund. "Anteriormente, los contratos podían haber sido sencillos, pero ahora son mucho más complejos entre el procesador de datos y el propietario de los datos".

Por ejemplo, dice que la gente pregunta: “¿Qué pasaría si salimos de su infraestructura; ¿Cómo se sanearán los datos?

Según Marcroft, director de operaciones y cumplimiento en Hyve Managed Hosting, el reglamento ha agregado más responsabilidad y una responsabilidad al procesador de datos para trabajar estrechamente con el controlador. Mientras tanto, el controlador debe asegurarse de que su procesador de datos sea compatible con GDPR.

Él dice que GDPR le dio a Hyve la oportunidad de ver las políticas y procedimientos que ya existen y evaluar dónde se necesitan "ajustes o cambios.” y que Hyve comenzó a mirar GDPR 12 meses antes de que se pusiera en marcha. "Hablamos con abogados para asegurarnos de que los contratos cumplieran con GDPR. Tuvimos que revisar los elementos de reescritura de los contratos y, de hecho, nos pusimos en contacto directamente con la Oficina del Comisionado de Información (ICO) y pedimos aclaraciones sobre áreas específicas. Regresaron con respuestas sencillas que ayudaron a los abogados contratados y que también servirían para aplicarse a la capacitación del personal ".

Hyve ha establecido un proceso contractual para el derecho al olvido. “Si necesitamos eliminar los datos de alguien en nuestra lista de marketing, tenemos que poder demostrarlo. Tenemos procedimientos establecidos tanto para esto como para cuando un cliente llega al final de su contrato.

Simple cumplimiento

Datacenter_Room_2_-_LeaseWeb.original.jpg

Withey dice que cumplir con GDPR como propietario de un centro de datos de colocación pura es "simple" si una organización está siguiendo los controles correctos. “Si te sometes a una evaluación de riesgos sólida y un buen registro de riesgos que te hace revisar tus controles físicos, nada puede salir mal. Incluso si la electricidad se va, podemos continuar. Hemos pensado en cada eventualidad individualmente.”

Eltjo Hofstee es el MD de Leaseweb UK, que opera 19 centros de datos en ubicaciones en Europa, Asia, Australia y América del Norte. Entre los cambios posteriores a la implementación de GDPR, Hofstee dice que ha habido una demanda de los clientes para probar la jurisdicción de los datos. "En el pasado, esto no era importante para los clientes, pero ahora quieren saber si está almacenado en el Reino Unido, y necesitan que esto se demuestre".

Un tema muy polémico pero interesante es el Brexit: muchos clientes preguntan a los propietarios de centros de datos cómo afectará esto a las cosas mientras el Reino Unido se prepara para salir de la UE.

GDPR podría tener "un gran impacto" en los centros de datos del Reino Unido después de Brexit, dice David Friend, CEO y cofundador de Wasabi Technologies, que proporciona almacenamiento en la nube a pedido. “Los centros de datos en el Reino Unido que actualmente atienden a los clientes de la UE pueden encontrar que los inquilinos empacan y trasladan su almacenamiento a Ámsterdam, Frankfurt, Niza y otras ubicaciones de centros de datos en la UE. Muchos ya lo han hecho.” dice.

“Pero también se debe tener en cuenta que el Reino Unido ha implementado su propio GDPR, lo que significa que GDPR seguirá vivo después del Brexit", dice Jocelyn Paulley, socia de la firma de abogados Gowling WLG.

La seguridad por diseño es clave en GDPR y esto ha enfatizado la necesidad de que los centros de datos demuestren sus credenciales a los clientes. Para algunos, la regulación incluso ha agregado fuentes de ingresos adicionales.

Six Degrees ha recibido más solicitudes de los clientes para deshacerse de datos innecesarios. "En el pasado, cuando el equipo llegaba al final del ciclo de vida, se eliminaba sin que nadie lo pensara, pero ahora los clientes se apoyan en nosotros para deshacernos de él de una manera segura", dice Arnold.

"Los discos duros fallan, pero ahora los clientes retienen ese disco y nos piden que lo destruyamos ya que no quieren que los datos permanezcan. Esto está impulsado por GDPR: los clientes no quieren lidiar con eso por sí mismos y estamos viendo un 500 por ciento más de discos duros destrozados.”