Código de conducta de CISPE para la protección de datos

El Código de conducta para la protección de datos de los proveedores de servicios de infraestructura en la nube de Europa (código CISPE) es el primer código de conducta paneuropeo de protección de datos para los proveedores de servicios de infraestructura en la nube en virtud del artículo 40 del Reglamento General de Protección de Datos (RGPD). El Comité Europeo de Protección de Datos (CEPD) lo aprobó en mayo de 2021 y, de manera formal, en junio de 2021, lo adoptó la Autoridad de Protección de Datos de Francia (CNIL).

El código CISPE garantiza a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple los requisitos correspondientes a un encargado del tratamiento de datos de acuerdo con el RGPD. Esto les brinda a los clientes de la nube mayor confianza de que pueden elegir servicios que se han verificado de manera independiente para su conformidad con el RGPD.

La adhesión de AWS al código CISPE ofrece a nuestros clientes garantías adicionales de que AWS ha implementado medidas contractuales y operativas que cumplen con los requisitos correspondientes a un encargado del tratamiento de conformidad con el artículo 28 del RGPD. EY CertifyPoint, un auditor externo acreditado por la CNIL como organismo de supervisión, verificó la conformidad con el código CISPE por parte de AWS.

El código CISPE va más allá del cumplimiento con el RGPD, ya que exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la opción de almacenar y tratar sus datos en el Espacio Económico Europeo. Los proveedores de servicios de infraestructura en la nube también deben comprometerse a no acceder ni usar los datos de los clientes, excepto cuando sea necesario para prestar los servicios declarados y su mantenimiento. En particular, los proveedores de servicios de infraestructura en la nube deben comprometerse a no usar los datos de los clientes para sus propios fines, entre los que se incluyen la extracción de datos, la creación de perfiles o el marketing directo.

El código CISPE permite a los clientes de servicios en la nube seleccionar con confianza servicios de infraestructura en la nube que se puedan utilizar en cumplimiento del RGPD. El código CISPE garantiza a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple los requisitos correspondientes a un procesador de datos de acuerdo con el RGPD. Esto da a los clientes de la nube mayor confianza de que pueden elegir servicios en la nube verificados de manera independiente para su conformidad con el RGPD. AWS declaró los servicios conforme al código CISPE por la garantía añadida que ofrece a nuestros clientes. El código CISPE es el primer código de conducta paneuropeo para la protección de datos centrado en los servicios de infraestructura en la nube, y está avalado por el Comité Europeo de Protección de Datos y aprobado por la Autoridad de Protección de Datos de Francia (CNIL), que actúa como autoridad principal de protección de datos.

Sí, AWS mantiene un alto nivel de protección de datos y controles de privacidad que se describen en el código CISPE para todo el contenido de los clientes.

EY CertifyPoint (EYCP) certificó de forma independiente que los servicios de AWS cumplen el código CISPE. EYCP fue el primer “organismo de supervisión” acreditado por la CNIL para verificar la conformidad con el código CISPE por parte de los proveedores de infraestructura en la nube. Desde entonces, la CNIL ha acreditado a otros organismos de supervisión, como Bureau Veritas y LNE. Todos ellos son auditores independientes reconocidos en todo el mundo y organismos de certificación con experiencia comprobada en la verificación de la conformidad con los requisitos de protección de datos por parte de las empresas.

Los servicios declarados adheridos al código CISPE están registrados en el Registro público de CISPE como “Adhesión controlada”. Para estos servicios, EYCP, un organismo de supervisión independiente acreditado por la CNIL, verificó la conformidad con los requisitos del código CISPE por parte de AWS. Los servicios de AWS incluidos en el ámbito del código CISPE también se pueden consultar en Servicios de AWS incluidos en el ámbito por programa de cumplimiento.

AWS admite más normas de seguridad y certificaciones de cumplimiento que cualquier otro proveedor de servicios en la nube. Además, revisamos continuamente las necesidades de nuestros clientes a medida que evoluciona el entorno normativo. El código CISPE permite a nuestros clientes seleccionar con confianza los servicios de infraestructura en la nube que pueden utilizarse de conformidad con el RGPD y satisface los requisitos de conformidad de nuestros clientes en la actualidad.

El Código de conducta en la nube de la UE es una iniciativa diferente, aunque con consideraciones y planteamientos similares a los del código CISPE. Si bien AWS considera que el código CISPE es una excelente herramienta para demostrar la conformidad relacionada con el RGPD por parte de AWS y satisfacer las expectativas correspondientes de nuestros clientes, seguiremos revisando las necesidades de nuestros clientes a medida que evolucione el entorno normativo.