Primer estándar internacional de privacidad en la nube adopta Microsoft
El día 16 de febrero marcó un logro importante, pues Microsoft se convierte en el primer gran proveedor de servicios en la nube en adoptar el primer estándar internacional para privacidad en la nube del mundo. Esta es otra razón por la que los clientes se pueden mover con confianza a la Nube de Microsoft.
El estándar en cuestión podría parecer técnico pero tiene importantes beneficios prácticos para los clientes empresariales alrededor del mundo. Es conocido como ISO/IEC 27018, y fue desarrollado por la Organización Internacional para la Estandarización (ISO, por sus siglas en inglés) para establecer un enfoque internacional y uniforme que permita proteger la privacidad de los datos personales almacenados en la nube.
El Instituto Británico de Estándares (BSI, por sus siglas en inglés) ha verificado de manera independiente que junto con Microsoft Azure, tanto Office 365 como Dynamics CRM Online, están alineados con el código de práctica del estándar para la protección de la Información Personal de Identificación (PII, por sus siglas en inglés) en la nube pública. Y de manera similar, Bureau Veritas ha hecho lo mismo para Microsoft Intune.
¿Por qué esto es importante?
Hay múltiples razones. Adherirse al ISO 27018 asegura a los clientes empresariales que la privacidad estará resguardada de diferentes maneras:
• Ustedes tienen el control de sus datos. Nuestra adherencia al estándar asegura que nosotros sólo procesaremos datos personales de acuerdo a las instrucciones que ustedes nos brindan como nuestros clientes.
• Ustedes saben qué sucede con sus datos. La adherencia al estándar asegura la transparencia sobre nuestras políticas referentes al retorno, transferencia y eliminación de información personal que ustedes almacenan en nuestros centros de datos. Nosotros no sólo les haremos saber dónde están sus datos, sino que además, si trabajamos con otras empresas que necesitan acceder a sus datos, les daremos a conocer con quiénes estamos trabajando. Adicional a esto, les informaremos si hay un acceso no autorizado a los equipos de procesamiento, o a las instalaciones que resulten en pérdida, divulgación o alteración de datos personales.
• Brindamos fuerte protección de seguridad para sus datos. La adherencia al ISO 27018 brinda un número importante de salvaguardas de seguridad. Asegura la existencia de restricciones definidas sobre cómo manejamos los datos personales, con inclusión de restricciones sobre su transmisión en redes públicas, almacenamiento en medios portátiles y procesos adecuados para los esfuerzos de recuperación y restauración de datos. En adición a esto, el estándar asegura que toda la gente, incluyendo nuestros propios empleados que procesan datos personales, estén sujetos a una obligación de confidencialidad.
• Sus datos no serán utilizados para publicidad. Cada vez más, los clientes empresariales vienen expresando su preocupación sobre la utilización de sus datos sin su consentimiento, para propósitos de publicidad, por parte de los proveedores de servicios en la nube. La adopción de este estándar reafirma nuestro ya largo compromiso de no utilizar los datos de los clientes empresariales para propósitos de publicidad.
• Les informamos sobre el acceso a sus datos por parte del gobierno. El estándar requiere que las solicitudes por parte de las autoridades gubernamentales o judiciales para divulgar datos personales sean dadas a conocer a ustedes como clientes empresariales, a menos que esta divulgación esté prohibida por la ley. Ya nos hemos adherido a este enfoque (y a muchos más), y la adopción del estándar refuerza este compromiso.
Todos estos compromisos son aún más importantes en el ambiente legal actual, en el que los clientes empresariales tienen sus propias obligaciones de cumplimiento regulatorio relacionadas con la protección de datos personales. Somos optimistas en que el estándar ISO 27018 puede servir como una plataforma tanto para reguladores como para clientes en su búsqueda de asegurar una fuerte protección de la privacidad en diferentes geografías y diferentes sectores de la industria.
Esta noticia es solo otra manera en la que venimos trabajando para ayudar a fortalecer las protecciones de privacidad y cumplimiento regulatorio para nuestros clientes en la nube. En la primavera del año pasado, recibimos una confirmación por parte de las autoridades de protección de datos en Europa referente a que los contratos de nube empresarial de Microsoft están en línea con las «cláusulas modelo» bajo las leyes de protección de datos de la Unión Europea referentes a la transferencia internacional de datos.
Por otro lado, a finales de 2014, Microsoft se convirtió en una de las primeras empresas en firmar el Compromiso por la Privacidad de los Estudiantes (Student Privacy Pledge), desarrollado por el Foro del Futuro de la Privacidad (Future of Privacy Forum) y la Asociación de Software e Información de la Industria (Software & Información Industry Association) para establecer un conjunto común de principios para proteger la privacidad y la información de los estudiantes.
Como hemos expresado antes, los clientes sólo utilizarán los servicios en los que confían. La validación de que hemos adoptado este estándar es una evidencia más de nuestro compromiso de proteger la privacidad de nuestros clientes en línea.
(*) Brad Smith es Abogado General y Vicepresidente Ejecutivo de Asuntos Legales y Corporativos de Microsoft.
Fuente: Brad Smith (*) – news.microsoft.com