Código de conducta de CISPE para la protección de datos
Información general
CISPE (proveedores de servicios de infraestructura en la nube de Europa) es una coalición de líderes en el sector de la computación en la nube que asiste a millones de clientes europeos. El Código de conducta de CISPE para la protección de datos (código CISPE) es el primer código de conducta paneuropeo de protección de datos para los proveedores de servicios de infraestructura en la nube en virtud del artículo 40 del Reglamento General de Protección de Datos (RGPD). El Comité Europeo de Protección de Datos (CEPD) lo aprobó en mayo de 2021 y, de manera formal, en junio de 2021, lo adoptó la Autoridad de Protección de Datos de Francia (CNIL), que actúa como la principal autoridad supervisora.
El código CISPE garantiza a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple los requisitos correspondientes a un procesador de datos de acuerdo con el RGPD. Esto les brinda a los clientes de la nube mayor confianza de que pueden elegir servicios que se han verificado de manera independiente para su conformidad con el RGPD.
El código CISPE va más allá de la conformidad con el RGPD, ya que exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la posibilidad de elegir servicios que almacenen y procesen los datos de los clientes exclusivamente en el Espacio Económico Europeo. Los proveedores de servicios de infraestructura en la nube también deben comprometerse a no acceder ni usar los datos de los clientes, excepto cuando sea necesario para prestar los servicios declarados y su mantenimiento. En particular, los proveedores de servicios de infraestructura en la nube deben comprometerse a no usar los datos de los clientes para sus propios fines, entre los que se incluyen la extracción de datos, la creación de perfiles o el marketing directo. EY CertifyPoint (EYCP) certificó de manera independiente que los servicios de AWS cumplen con el código CISPE. EYCP fue el primer “organismo de supervisión” acreditado por la CNIL para verificar la conformidad con el código CISPE por parte de los proveedores de infraestructura en la nube.
AWS admite más normas de seguridad y certificaciones de conformidad que cualquier otro proveedor en la nube, y revisamos de manera continua las necesidades de nuestros clientes a medida que evoluciona el entorno normativo. El código CISPE proporciona un nivel adicional de garantía a nuestros clientes de que los servicios en la nube de AWS pueden utilizarse de conformidad con el RGPD, y satisface los requisitos de conformidad de nuestros clientes en la actualidad.
Preguntas frecuentes
-
¿Qué es el Código de conducta de CISPE para la protección de datos del RGPD (código CISPE)?
El Código de conducta para la protección de datos de los proveedores de servicios de infraestructura en la nube de Europa (código CISPE) es el primer código de conducta paneuropeo de protección de datos para los proveedores de servicios de infraestructura en la nube en virtud del artículo 40 del Reglamento General de Protección de Datos (RGPD). El Comité Europeo de Protección de Datos (CEPD) lo aprobó en mayo de 2021 y, de manera formal, en junio de 2021, lo adoptó la Autoridad de Protección de Datos de Francia (CNIL).
-
¿Por qué es importante para nuestros clientes?
El código CISPE garantiza a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple los requisitos correspondientes a un procesador de datos de acuerdo con el RGPD. Esto da a los clientes de la nube mayor confianza de que pueden elegir servicios que se han verificado de manera independiente para su conformidad con el RGPD.
-
¿Cómo ayuda el Código de conducta de CISPE para la protección de datos a que los clientes cumplan con el RGPD?
La adhesión de AWS al código CISPE ofrece a nuestros clientes garantías adicionales de que AWS ha implementado medidas contractuales y operativas que cumplen con los requisitos correspondientes a un procesador de conformidad con el artículo 28 del RGPD. EY CertifyPoint, un auditor externo acreditado por la CNIL como organismo de supervisión, verificó la conformidad con el código CISPE por parte de AWS.
-
¿Cómo ayuda la certificación de AWS de acuerdo con el código CISPE a que los clientes tengan más control y transparencia sobre el lugar donde se almacenan y procesan sus datos?
El código CISPE va más allá de la conformidad con el RGPD, ya que exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la opción de almacenar y procesar sus datos en el Espacio Económico Europeo. Los proveedores de servicios de infraestructura en la nube también deben comprometerse a no acceder ni utilizar los datos de los clientes, excepto cuando sea necesario para prestar los servicios declarados y su mantenimiento. En particular, los proveedores de servicios de infraestructura en la nube deben comprometerse a no utilizar los datos de los clientes para sus propios fines, entre los que se incluyen la extracción de datos, la creación de perfiles o el marketing directo. -
¿Por qué AWS declaró los servicios adheridos al código CISPE?
El código CISPE permite a los clientes de la nube seleccionar con confianza los servicios de infraestructura en la nube que pueden utilizarse de conformidad con el RGPD. El código CISPE garantiza a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple los requisitos correspondientes a un procesador de datos de acuerdo con el RGPD. Esto da a los clientes de la nube mayor confianza de que pueden elegir servicios en la nube verificados de manera independiente para su conformidad con el RGPD. AWS declaró los servicios conforme al código CISPE por la garantía añadida que ofrece a nuestros clientes. El código CISPE es el primer código de conducta paneuropeo para la protección de datos centrado en los servicios de infraestructura en la nube, y está avalado por el Comité Europeo de Protección de Datos y aprobado por la Autoridad de Protección de Datos de Francia (CNIL), que actúa como autoridad principal de protección de datos. -
¿Me atañe a mí como cliente el código CISPE si no gestiono información de identificación personal (PII) o información personal?
Sí, AWS mantiene un alto nivel de protección de datos y controles de privacidad que se describen en el código CISPE para todo el contenido de los clientes. -
¿Cuál es el organismo de supervisión independiente?
EY CertifyPoint (EYCP) certificó de manera independiente que los servicios de AWS cumplen con el código CISPE. EYCP fue el primer “organismo de supervisión” acreditado por la CNIL para verificar la conformidad con el código CISPE por parte de los proveedores de infraestructura en la nube. Desde entonces, la CNIL ha acreditado a otros organismos de supervisión, como Bureau Veritas y LNE. Todos ellos son auditores independientes reconocidos en todo el mundo y organismos de certificación con experiencia comprobada en la verificación de la conformidad con los requisitos de protección de datos por parte de las empresas.
-
¿Cuántos servicios declaró AWS adheridos al código CISPE?
Los servicios declarados adheridos al código CISPE están registrados en el Registro público de CISPE como “Adhesión controlada”. Para estos servicios, EYCP, un organismo de supervisión independiente acreditado por la CNIL, verificó la conformidad con los requisitos del código CISPE por parte de AWS. Los servicios de AWS incluidos dentro del alcance del código CISPE también pueden consultarse en Servicios de AWS incluidos por programa de cumplimiento.
-
¿Tiene previsto declarar los servicios con arreglo al Código de conducta en la nube de la UE?
AWS reconoce más normas de seguridad y certificaciones de conformidad que cualquier otro proveedor de servicios en la nube, y revisa de manera continua las necesidades de los clientes a medida que evoluciona el entorno normativo. El código CISPE permite a nuestros clientes seleccionar con confianza los servicios de infraestructura en la nube que pueden utilizarse de conformidad con el RGPD y satisface los requisitos de conformidad de nuestros clientes en la actualidad.Sin embargo, el Código de conducta en la nube de la UE es una iniciativa diferente, con consideraciones y enfoques similares a los del código CISPE. Si bien AWS considera que el código CISPE es una excelente herramienta para demostrar la conformidad relacionada con el RGPD por parte de AWS y satisfacer las expectativas correspondientes de nuestros clientes, seguiremos revisando las necesidades de nuestros clientes a medida que evolucione el entorno normativo.