saltar al contenido
Manejo de datos urgentes, Manejo de datos, Plataforma de procesamiento de datos, Procesamiento de datos

Por Jim Vaughn, Tim LaTulippe y Dan Rupprecht el 18/10/20 7:00 a. m.

En el mundo cambiante de la tecnología y los requisitos legales de hoy en día, las consideraciones sobre el manejo de datos se han vuelto de vital importancia. Existen múltiples niveles de consideración, incluidas las obligaciones legales, la privacidad y la logística. Este es un ejemplo de cómo los clientes con sede en Europa pueden proporcionar datos de manera cuidadosa y estratégica para una disputa o litigio en los EE. UU. 

Cabe señalar que ninguno de los contenidos aquí tiene la intención de ser asesoramiento legal, sino más bien una demostración de nuestra experiencia técnica y de la industria en el manejo de la transferencia de datos a través de las fronteras. En última instancia, los asuntos legales deben ser evaluados por un abogado.  

Considere los siguientes “hechos” para la ilustración de este ejemplo.  

  • Este asunto involucraba un conjunto de datos de la empresa que habían sido creados y almacenados dentro de perfiles de custodios individuales empleados por una empresa con sede en Alemania y EE. UU.  
  • Aunque los custodios otorgaron acceso y permiso a los datos, todavía se tomaron ciertos flujos de trabajo y precauciones para garantizar que el "procesador de datos" hubiera manejado correctamente los datos antes de que el equipo legal de EE. UU. Accediera a ellos.  
  • Los conjuntos de datos incluían: un conjunto de correo electrónico (miles encriptados con S/Mime), archivos electrónicos sueltos (también conocidos como documentos que no son de correo electrónico) y datos recopilados de un sistema de gestión de documentos.  
  • Los datos debían ser "descifrados", "procesados" y "buscados" en Europa y los datos resultantes transferidos al abogado europeo del cliente para su posterior manejo de acuerdo con las cláusulas contractuales estándar o las normas corporativas vinculantes de la empresa.       

Relaciones definidas

Al operar en Europa, sería negligente no tener en cuenta las numerosas normas y reglamentos que ayudan a definir la accesibilidad de los datos de una jurisdicción a otra. En 2018, entró en vigor el Reglamento General Europeo de Protección de Datos o "GDPR" que ayudó a crear cierta uniformidad entre los estados miembros. La aplicación puede diferir ligeramente entre los miembros de la Unión Europea, pero se puede confiar en la guía subyacente para ayudar a dictar el proceso de extracción de información para su uso en asuntos legales o regulatorios. Es importante comprender las funciones que desempeñan las distintas partes para garantizar que no se infrinjan los derechos de los interesados.

En el escenario presentado aquí, los datos residían en Alemania. La empresa en el centro de la disputa legal basada en los EE. UU. había sido acusada de extraer información relacionada con ciertas personas clave de interés para una mayor investigación.

  • Controlador de datos: Según el RGPD, la empresa junto con su asesor externo se encuentran en la posición del "controlador de datos", que puede definirse como: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determine los fines y medios del procesamiento de datos personales; cuando los fines y medios de dicho tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán ser establecidos por la legislación de la Unión o de los Estados miembros.
  • Procesador de datos: iDS se colocó en la posición del "procesador de datos". Según el RGPD, esta función puede definirse en términos generales como una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.

Como un procesador de datos experimentado, pudimos llamar la atención nuevamente sobre la asesoría legal en temas relacionados con la protección de datos, asegurándonos de que cualquier instrucción relacionada con el procesamiento de dichos datos estuviera de acuerdo con la regulación. Si bien no brindamos asesoramiento legal, conocemos la ley y, como tal, debemos asegurarnos de que nuestras propias acciones se contabilicen adecuadamente desde una perspectiva de protección de datos. Esto requería una cuidadosa coordinación y un claro entendimiento, ambos bien cubiertos por las partes involucradas.

Transferencia transfronteriza

En este escenario, con solo una opción viable y un plazo agresivo, el equipo de consultoría pudo pivotar, utilizando los propios recursos de la firma de abogados y el marco de transferencia existente para realizar la tarea en cuestión. Esto no requirió el largo proceso de formular desde cero un esquema detallado de las acciones requeridas (que no pudieron lograrse dentro del cronograma acordado). Al posicionar al bufete de abogados como la parte que transfiere, iDS pudo concentrarse en procesar datos y ponerlos en manos de los recursos locales, es decir, las oficinas de abogados externos en Europa. Con la accesibilidad y las opciones de transferencia entendidas, era hora de concentrarse en los aspectos prácticos para hacer el trabajo.

La tuercas y pernos

El equipo de iDS pudo "ponerse de pie", dentro de "La Nube", una operación de servidor completa en 72 horas, incluida una plataforma de procesamiento de datos de terceros, dentro de la región de AWS Frankfurt.[1] Para ayudar a la solución, el equipo también aprovechó un servidor SFTP dentro del entorno de AWS que es capaz de comunicarse directamente con la plataforma de procesamiento, lo que significa que los datos transferidos por la empresa ya estaban en el área de preparación final sin necesidad de moverlos adicionalmente para proceso y triaje.

La nube – Disipando algunas de las ilusiones

Esta es 'la nube'

Percepción

La percepción primaria entre los aversos al riesgo es comprensible; sin embargo, los datos son no flotando en un éter inseguro. La energía y el almacenamiento de la computadora simplemente se arriendan a los clientes y la infraestructura que lo alimenta apenas difiere de una configuración interna de servidor bare metal. El término 'nube' es un gran marketing, pero es igualmente difícil de navegar dentro de las conversaciones sobre protección de datos debido a la falta de consenso y comprensión.

Seguridad por diseño

Sitios Físicos

Si los clientes buscan alquilar un espacio de centro de datos seguro en una ubicación determinada, el punto de venta de esas instalaciones está en contacto con las preocupaciones de los compradores: acceso a edificios, inundaciones, terremotos, tornados, incendios forestales. Servicios web de Amazon (AWS) seleccionan sus sitios con los mismos criterios. Recuerde: están protegiendo algunos de sus propios sistemas en estos centros, no solo el Nube privada virtual (VPC) entornos de clientes. Estos sitios también están totalmente equipados con entrada de múltiples factores para el personal, puertas de esclusas de aire, circuito cerrado de televisión: todo funciona.

Grandes ventajas

El uso de EC2 Compute (PC virtuales de AWS) en lugar de servidores bare-metal tiene muchas ventajas. Los beneficios más obvios son el tiempo de operación y la capacidad de llegar más lejos geográficamente (movilidad).

Costo

Si las operaciones son supervisadas inteligentemente por consultores familiarizados con el marco, también se pueden generar algunos ahorros de costos evidentes, ya que los recursos están listos en lugar de los costos fijos.

Hora

En un compromiso reciente con más de 400 GB de datos de correo de un cliente alemán, el equipo pudo incorporar y, posteriormente, procesar de 80 a 100 GB de datos por día casi en tiempo real. Este éxito es doble; 1) las condiciones de ancho de banda fueron favorables tanto para el Cliente como para el equipo de iDS, de modo que la transferencia (carga) de datos de correo SFTP fue de 4 a 5 veces más rápida que los promedios del mercado[2], y 2) la plataforma de procesamiento de datos desempaquetaba, analizaba y procesaba datos con mucha facilidad para clasificarlos a velocidades nunca antes vistas en casi todas las demás plataformas que usaban esta misma configuración. El equipo de iDS pudo cargar, seleccionar, buscar y producir documentos dentro de las 24 horas posteriores a la recepción del primer tramo grande.

Disponible en cualquier lugar

Ha habido una serie de compromisos en los que los Clientes insisten en que el equipo pesado y sin metal se lleve in situ a un lugar, por ejemplo, en Austria o Alemania. Esto continuará ya que ciertas empresas e industrias tienen preocupaciones de percepción estrictas relacionadas con los datos que salen de sus propias instalaciones, por no hablar de ingresar a un entorno de servidor no controlado por su propio equipo. Sin embargo, este blog demuestra opciones alternativas viables y aceptables.

Para obtener más información sobre cómo iDS puede ayudarlo con problemas transfronterizos, comuníquese con cualquiera de los autores en jvaughn@idsinc.com, tlatulippe@idsinc.com o drupprecht@idsinc.com.

[1] Protección de datos regionalmente específica

[2] Basado en el conocimiento de la industria y la experiencia de cargas en el rango de 500k a 1 MB.

es_ESES