Cómo ayuda AWS a los clientes de la UE a navegar por la nueva normalidad de la protección de datos

NOTA: Esto es una traducción de un artículo escrito por Stephen Schmidt and Donna Dodson y publicado en en el blog de seguridad de AWS y que está traducido allí en otros idiomas pero no en Castellano.

Lograr el cumplimiento de la normativa de protección de datos de la Unión Europea es fundamental para cientos de miles de clientes de Amazon Web Services (AWS). Muchos de ellos están sujetos al Reglamento General de Protección de Datos (RGPD) de la UE, que garantiza el derecho fundamental de las personas a la privacidad y la protección de los datos personales. En febrero, anunciamos compromisos reforzados para proteger los datos de los clientes, como la impugnación de las solicitudes de datos de clientes por parte de las fuerzas de seguridad que entran en conflicto con la legislación de la UE.

Hoy, nos complace anunciar que hemos lanzado dos nuevos recursos en línea para ayudar a los clientes a completar más fácilmente las evaluaciones de transferencia de datos y cumplir con el RGPD, teniendo en cuenta las recomendaciones de la Junta Europea de Protección de Datos (JEPD). Estos recursos también ayudarán a los clientes de AWS en otros países a entender si su uso de los servicios de AWS implica una transferencia de datos.

Utilizando las nuevas "Funciones de privacidad para los servicios de AWS", los clientes pueden determinar si su uso de un servicio individual de AWS implica la transferencia de datos del cliente (los datos personales que han cargado en su cuenta de AWS). Conocer esta información permite a los clientes elegir la acción correcta para sus aplicaciones, como optar por no transferir los datos o crear una divulgación adecuada de la transferencia para la transparencia del usuario final.

También estamos proporcionando información adicional sobre las actividades de procesamiento y las ubicaciones del número limitado de subprocesadores que AWS contrata para proporcionar servicios que implican el procesamiento de los datos del cliente. AWS contrata tres tipos de subprocesadores:

• Entidades locales de AWS que proporcionan la infraestructura de AWS.

• Entidades de AWS que procesan los datos de los clientes para servicios específicos de AWS.

• Terceros con los que AWS contrata para realizar actividades de procesamiento para servicios específicos de AWS.

La información mejorada disponible en nuestra página actualizada de subprocesadores permite a los clientes evaluar si un subprocesador es relevante para su uso de los servicios de AWS y las regiones de AWS.

Estos nuevos recursos facilitan a los clientes de AWS la realización de sus evaluaciones de transferencia de datos según lo establecido en las recomendaciones de la EDPB y, como resultado, el cumplimiento del GDPR. Después de completar sus evaluaciones de transferencia de datos, los clientes también podrán determinar si necesitan implementar medidas complementarias en línea con las recomendaciones del JEPD.

Estos recursos respaldan nuestro compromiso continuo de ofrecer a los clientes el control sobre dónde se almacenan sus datos, cómo se almacenan y quién tiene acceso a ellos.

Desde que abrimos nuestra primera región en la UE en 2007, los clientes han podido elegir almacenar sus datos con AWS en la UE. En la actualidad, los clientes pueden almacenar sus datos en nuestras regiones de AWS en Francia, Alemania, Irlanda, Italia y Suecia, y vamos a añadir España en 2022. AWS nunca transferirá datos fuera de la región de AWS seleccionada por un cliente sin el acuerdo de este.

Los clientes de AWS controlan cómo se almacenan sus datos, y tenemos una variedad de herramientas a su disposición para mejorar la seguridad. Por ejemplo, AWS CloudHSM y AWS Key Management Service (AWS KMS) permiten a los clientes cifrar los datos en tránsito y en reposo y generar y administrar de forma segura las claves de cifrado que controlan.

Por último, nuestros clientes controlan quién puede acceder a sus datos. Nunca utilizamos los datos de los clientes con fines de marketing o publicidad. También prohibimos, y nuestros sistemas están diseñados para impedir, el acceso remoto del personal de AWS a los datos de los clientes para cualquier propósito, incluido el mantenimiento del servicio, a menos que lo solicite un cliente, sea necesario para evitar el fraude y el abuso, o para cumplir con la ley.

Como se mencionó anteriormente, desafiamos las solicitudes de aplicación de la ley para los datos de los clientes de los organismos gubernamentales, ya sea dentro o fuera de la UE, cuando la solicitud entra en conflicto con la legislación de la UE, es demasiado amplia, o tenemos cualquier otro motivo apropiado para hacerlo.

Ganar la confianza de los clientes es la base de nuestro negocio en AWS, y sabemos que la protección de los datos de los clientes es clave para lograrlo. También sabemos que ayudar a los clientes a proteger sus datos en un mundo con regulaciones, tecnología y riesgos que cambian constantemente requiere un trabajo en equipo. Nunca esperaríamos que nuestros clientes lo hicieran solos.

A medida que continuamos mejorando las capacidades que los clientes tienen a su alcance, pueden estar seguros de que la elección de AWS les garantizará las herramientas necesarias para ayudarles a cumplir los requisitos más estrictos de seguridad, privacidad y conformidad.

Si tiene preguntas o necesita más información, visite nuestra página de protección de datos de la UE.