Supervisión remota de impresoras en el Cloud y conformidad con el GDPR

El Reglamento Europeo 679/2016 (GDPR) plantea novedades en relación con la gestión de los datos personales a cualquiera que se ve obligado a gestionarlos – incluso las empresas que utilizan sistemas de supervisión remota de impresoras. A continuación, se encuentra una autoevaluación para entender si la propia empresa cumple o no con la normativa.

La supervisión remota en el Cloud, para las empresas involucradas en el comercio de las impresoras, ha llegado a ser una componente fundamental de la infraestructura IT. Revendedores, suministradores y proveedores de la gestión de los servicios de impresión en todo el mundo, utilizan aplicaciones SaaS (Software as a service) en Cloud para recolectar y almacenar datos, contadores, niveles de tóner y cualquier otra información necesaria para garantizar la supervisión remota, con el objetivo de gestionar contratos Coste-por-página y automatizar el suministro de los consumibles ante los usuarios finales.

Como resultado de los cambios repentinos del mercado y de los escenarios actuales extremadamente competitivos, las ventajas que se obtienen usando plataformas de supervisión SaaS Cloud son tangibles: softwares actualizados constantemente, procedimientos de soporte centralizados, ningún coste de infraestructura, tiempos de conexión directa reducidos al mínimo, son solo algunas de las numerosas características que permiten que estas soluciones sean sumamente favorables y poderosas.

Sin embargo, como siempre, un gran poder significa también una grande responsabilidad.

Ahora todos sabemos cómo cualquier empresa con clientes desplazados en Europa tenga que satisfacer las directivas del Reglamento General de Protección de Datos 2016/679 (GDPR) para todas las actividades sobre el tratamiento de los datos personales de ciudadanos europeos. Revendedores de impresoras y suministradores de servicios de impresión gestionada (MPS) no son una excepción, ya que el GDPR se aplica también a la gestión de los datos personales en los sistemas de supervisión remota SaaS.

El artículo 4.1 del GDPR explica claramente que “se considera dato personal cualquier información concerniente una persona física identificada o identificable”, con especial referencia a: nombres, direcciones físicas, identificadores on-line como una dirección de correo electrónico relacionada con una identidad física.

Pongámonos en el lugar de un revendedor de impresoras y multifunción que usa uno de los muchos sistemas de supervisión SaaS en el mercado. El utilizo de dicho sistema, ¿puede incluir riesgos adicionales para la conformidad al GDPR?

La respuesta a eta pregunta depende de diferentes factores:

• Tipo de datos procesados: datos personales o de la empresa;
• Nivel de protección de los datos implementado por el proveedor de servicios SaaS;
• Presencia de nombramiento a Responsable de Protección por parte de la empresa frente al proveedor de servicios SaaS, como previsto por el Art. 28 del GDPR;
• Nivel de conformidad al GDPR asegurado por el proveedor de servicios SaaS;
• Ubicación física de los servidores (dentro o fuera del territorio europeo), en donde el proveedor de servicios SaaS aloja sus aplicaciones y en donde se gestionan y almacenan los datos.

Si en el sistema SaaS se gestionan solamente datos técnicos, o solamente datos de la empresa en relación con personas jurídicas, estos NO se encuentran bajo la protección del GDPR y NO se requiere que se administren con arreglo a GDPR. En este escenario, todos los factores recién mencionados no son significativos para la conformidad de la empresa y, casi seguramente, no habrá nada de qué preocuparse.

En cambio, si algunos datos de ciudadanos europeos se transfieren a un sistema SaaS, ya sea nombres de persona, direcciones de correo electrónico y números de teléfono o cualquier otra información relacionada con una persona identificable, entonces será necesario gestionar dichos datos según las disposiciones previstas por el GDPR. En este caso, todos los aspectos listados anteriormente llegan a ser sumamente importantes y se tendrá que considerarlos atentamente comprobando su propia conformidad con la ley.

¿Cómo es posible autoevaluar su propia condición para estar seguros de que las actividades de gestión datos en SaaS sean correctas a efectos del GDPR?

A continuación, indicamos una pequeña lista de preguntas para evaluar el estado del entorno Cloud SaaS usado por su empresa:

1. ¿Se almacenan en la base de datos SaaS nombres de persona y/o direcciones de correo electrónico personales, por ejemplo, para enviar alertas, informes, notificaciones, mensajes de correo electrónico, etc., o cualquier otro dato personal como indicado en el Art. 41 del GDPR?

• Si la respuesta es No, es muy probable que no se tendrá que preocuparse de satisfacer ninguna petición del GDPR;
• Si la respuesta es Sí, se tendrán que aplicar todas o algunas de las peticiones siguientes.

2. ¿El proveedor de servicios SaaS ha facilitado indicaciones claras y exhaustivas acerca del nivel de seguridad y protección que ha implementado en la gestión de los datos personales?

3. ¿Se ha firmado un Acta de Nombramiento a Responsable del Tratamiento (Data Processing Agreement) con el proveedor de servicios SaaS? Dicha Acta, ¿ha sido elaborada como contrato jurídicamente vinculante( legally binding contract) en donde seguridad, procedimientos de protección y políticas, funciones y responsabilidades y otras disposiciones solicitadas por la ley, son expresadas y aceptadas por el proveedor de servicios SaaS?

4. El proveedor de servicios SaaS, ¿ha garantizado nombrar formalmente a un RPD (Data Protection Officer) para su empresa?

5. El proveedor de servicios SaaS, ¿ha proporcionado una certificación que comprueba la presencia de procedimientos para el tratamiento de los datos personales que sean conformes totalmente con los requisitos del GDPR?

6.  ¿Los servidores SaaS se ubican en un país que se encuentra dentro de los territorios de la UE?

• En caso afirmativo, no hay otros requisitos sobre este tema, dado que el GDPR no plantea vínculos acerca de la transferencia de datos dentro de la UE;
•  Si así no fuera, hay que asegurarse de que la transferencia de los datos hacia el país de almacenamiento, esté permitida. Esto podría ser cierto si el país está considerado adecuado por la Comisión Europea, que tiene la facultad de tomar decisiones sobre la idoneidad con arreglo al GDPR. Si faltara una decisión sobre la idoneidad, es necesario aplicar medidas de salvaguardia adicionales, como normas empresariales vinculantes o cláusulas estándares sobre la protección de los datos en los contratos;
• Si el sistema Cloud SaaS está ubicado en el territorio de los EEUU (el caso más común para varios proveedores SaaS de soluciones de supervisión), el proveedor de servicios debe estar incluido en el EU-US Privacy Shield Framework y mencionado en la Privacy Shield List, facilitando, de esta forma, la comprobación sobre la posible conformidad o no.

7. ¿El proveedor de servicios SaaS posee una cualquiera certificación relacionada con la privacidad y la seguridad de información, como por ejemplo la certificación ISO/IEC 27001?

Si no hubiera respuestas claras a estas preguntas, existe un riesgo concreto de encontrar problemas de conformidad con el GDPR en las propias actividades de tratamiento de los datos personales.

Por último, hay que considerar que en cualquier situación un Responsable del Tratamiento (la empresa) trasfiere datos personales de ciudadanos europeos hacia un Responsable Externo (el proveedor de servicios SaaS), el Responsable tiene la responsabilidad de asegurar y demostrar que la actividad del tratamiento se está llevando a cabo en plena conformidad con el GDPR.