Ley de Nube de EE.UU. y EU-DSGVO
En pocas palabras, la Ley de la Nube permite al Gobierno estadounidense acceder sin restricciones a todos los datos globales almacenados en la nube por proveedores estadounidenses.
Esto también deja obsoleta la disputa legal que Microsoft buscaba en EE.UU.: Microsoft no vio ninguna necesidad legal de entregar datos almacenados fuera de EE.UU. a las autoridades gubernamentales estadounidenses.
La actual Ley de la Nube cambia radicalmente esta situación. Las empresas estadounidenses están obligadas a entregar todos los datos de la nube a las autoridades pertinentes, independientemente de la ubicación física de almacenamiento.
Los expertos en protección de datos esperaban una regulación de este tipo, pero siempre de acuerdo con las leyes europeas y, en particular, con el GDPR de la UE.
Lo que ha complicado la situación para los usuarios de la nube y, por tanto, también para los actuales clientes de SAP, es el hecho de que el Gobierno de EE.UU. haya aprobado ahora la Ley de la Nube sin consultar a la UE.
Esta regulación unilateral de la "protección de datos" no sólo ha cogido desprevenidos a los funcionarios de la UE en Bruselas, sino que ahora plantea retos completamente nuevos a la computación en nube.
Por lo tanto, la Ley de Nube de EE.UU. en combinación con el GDPR de la UE podría obligar a los clientes actuales de SAP a evitar los proveedores de nube de EE.UU. como AWS, Microsoft y Google o incluso a abandonarlos, ya que existen alternativas europeas.
"La aclaración de las autoridades estadounidenses a través de la US Cloud Act no es inesperada"
Jean-Claude Flury, miembro del Consejo de Integración de Redes Empresariales del DSAG, también lo confirmó a E-3 Magazine.
Y Bertram Dorn, AWS Specialist Solutions Architect EMEA for Security, confirma la nueva situación en una entrevista exclusiva con E-3:
"Ayudamos a respaldar el análisis de riesgos con información y datos. Pero no se puede hacer sin riesgo, así que hay que llegar a una evaluación realista.
Con el GDPR de la UE y la Cloud Act de EE.UU., hay por supuesto una tarea adicional en términos de análisis de riesgos. Y, por supuesto, ahora surgen aquí debates a los que los actuales clientes de SAP -especialmente de pymes- aún no están acostumbrados."
Por tanto, el debate sobre el riesgo del nuevo Director de Seguridad de la Información no es un debate técnico, sino jurídico. El aspecto positivo es la seguridad jurídica provisional, ya que existe una ley estadounidense y un GDPR de la UE.
"Incluso Microsoft, que tiene un caso pendiente ante el Tribunal Supremo de EE.UU., les da la bienvenida"
explica Jean-Claude Flury, miembro de la junta directiva del DSAG, y añade:
"En estos tiempos de filtraciones y piratería informática, todas las empresas deben pensar detenidamente qué datos se almacenan en nubes más o menos privadas.
Esto se aplica en particular a los centros de datos de fuera de Europa y más aún si el operador no tiene su sede en la UE o Suiza".
La propia SAP aún no ha respondido y no ha hecho comentarios sobre sus asociaciones con AWS, Microsoft y Google o sus propios centros de datos globales. Jean-Claude Flury subraya una vez más:
"La novedad es que terceros países podrían acceder más fácilmente a los datos de empresas de su propio país a través de un acuerdo bilateral con Estados Unidos. Las empresas europeas harían bien en endurecer sus, con suerte, ya estrictas directrices sobre el almacenamiento de datos fuera del propio centro de datos de la empresa."
Bertram Dorn, experto de AWS, opina lo mismo:
"El cliente debe ser consciente de los riesgos que plantean el GDPR de la UE y la Ley de la Nube de Estados Unidos y también evaluarlos y valorarlos adecuadamente por sí mismo."
Con la ley estadounidense sobre la nube y el GDPR, el director de seguridad de la información tiene mucho trabajo. Bertram Dorn lo sabe por su trabajo diario con los clientes de AWS:
"Incluso después de la discusión y evaluación con nuestros abogados, la evaluación de riesgos sigue siendo, naturalmente, responsabilidad del cliente".
Hay varias formas de superar este reto: ¿quizá volviendo a su propio centro de datos? La inmensa mayoría de los clientes actuales de SAP tienen amplios conocimientos sobre la creación y el funcionamiento de sus propios centros de datos.
En la era anterior a la nube, la comunidad SAP consolidó, automatizó y virtualizó mucho. El resultado fueron centros de datos ágiles y de alto rendimiento que, como instalaciones SAP locales, también podían seguir el ritmo de muchos subcontratistas y hosters en términos de gestión empresarial.
¿Cuál es el riesgo? ¿Hasta qué punto es relevante una estrategia de salida de la nube? Meik Brand, SAP Business Development Manager de QSC, partner de SAP, lo explica:
"En primer lugar, hay que señalar: Quien aún no utilice productos en la nube de empresas estadounidenses y no almacene datos en servidores de ese país puede sentarse tranquilo y esperar a las próximas medidas reguladoras que adopte la UE. Al fin y al cabo, se trata actualmente de una medida puramente unilateral del Gobierno estadounidense."
Por tanto, la US Cloud Act afecta directamente a los clientes actuales de SAP que trabajan con AWS, Microsoft Azure y Google Cloud Platform. La reacción y respuesta del especialista de AWS Bertram Dorn es, por tanto, totalmente lógica:
"Ayudamos a nuestros clientes con revisiones de su arquitectura de seguridad, porque todas nuestras precauciones y servicios de seguridad solo ayudan si el cliente también implementa y configura correctamente estas ofertas de AWS."
Meik Brand de QSC recomienda:
"Cualquiera que esté actualmente en proceso de seleccionar un servicio en la nube debería detenerlo por el momento. Las empresas que ya estén utilizando productos en nube afectados por la Ley de la Nube, en cambio, deberían esperar a ver qué pasa. Los próximos dos o tres meses mostrarán lo que significa realmente la Ley de la Nube de EE.UU. - y cómo se posicionará la UE al respecto.
Los clientes de SAP también deberían pedir cuentas a su proveedor de nube estadounidense y aclarar cómo puede garantizar ahora la protección de datos de acuerdo con el GDPR de la UE, a pesar de la Ley de la Nube."
Mientras que Microsoft y Google no quisieron hacer comentarios a E-3 Magazine sobre su responsabilidad y sus revisiones de seguridad en materia de protección de datos, Bertram Dorn, de AWS, adoptó una postura clara:
"Consideramos que estas revisiones son muy importantes, por lo que ofrecemos este servicio a nuestros clientes de forma gratuita. El trasfondo es fácil de explicar: queremos que nuestros clientes tengan éxito y eso incluye la seguridad de los datos. En última instancia, se trata de la correcta configuración de los servicios de AWS de acuerdo con los requisitos del cliente."
Por tanto, como cliente actual de SAP, puede almacenar sus datos de forma segura en AWS y hacer una evaluación de riesgos, pero es difícil evaluar cómo la Ley de la Nube de EE.UU. es compatible con el GDPR de la UE en la práctica y cómo ambas normativas son aplicadas operativamente por las respectivas autoridades.
Esta es la recomendación final de Meik Brand, SAP Business Development Manager de QSC:
"Cualquiera que sepa que sus datos se almacenan con un proveedor de nube de la UE en un centro de datos de la UE está confiando en un proveedor que está sujeto al GDPR de la UE y, por lo tanto, está en el lado seguro en términos de ley de protección de datos. Por tanto, los clientes de SAP en Europa deberían examinar con ojo crítico el uso de proveedores de nube estadounidenses y permitirlo ahora sólo en casos excepcionales.
Debido al Reglamento General de Protección de Datos de la UE, que entra en vigor el 25 de mayo, existen sanciones potencialmente elevadas en caso de infracción de la protección de datos."
La Ley de la Nube de EE.UU. y el GDPR de la UE arañan así las nubes de la computación en nube. La comunidad SAP tendrá que encontrar respuestas en los próximos meses o volver al on-premise.
DE
EN
ES
