Una vintena de proveïdors europeus de serveis al núvol (d’emmagatzematge online), integrats a CISPE (Cloud Infrastructure Services Providers in Europe), elaboren un Codi de Conducta de Protecció de Dades (el “The CISPE Code of Conduct”) per poder adaptar-se al Reglament General de Protecció de Dades europeu (RGPD), Reglament ja aprovat i aplicable a partir del maig de 2018.
En aquest codi es comprometen a no extreure ni recopilar dades personals, o a crear perfils dels seus clients, per publicitat, comercialitzar-los o utilitzar-los per campanyes de màrqueting en benefici propi. També es comprometen a no revendre dades a tercers.
Amb tot això, els proveïdors pretenen donar garanties als clients de que no processaran dades personals en benefici propi, adaptant-se al nou Reglament General de Protecció de Dades europeu (RGPD), Reglament que tornarà a tots els ciutadans europeus el control de les seves dades personals.
Els proveïdors de serveis al núvol que realment siguin adequats per emmagatzemar dades personals obtindran un Certificat de Confiança.
Opció de no emmagatzemar dades fora d’Europa
Aquests empreses també ofereixen als seus clients la possibilitat d’emmagatzemar i processar les seves dades únicament als països de l’Àrea Econòmica Europea o de la Unió Europea, per garantir que es compleixen les normatives i de que tenen un control de les seves dades personals, i de que no revendran o reutilitzaran les seves dades.
CISPE agrupa proveïdors de serveis al núvol ubicats a Europa, com per exemple Aruba, Arsys, Art of Automation, Dominion, Daticum, Gigas, Home, Host Europe Group, Outscale, OVH, XXL Webhosting o 1&1 Internet; empreses ubicades en onze països, entre ells Espanya, Alemanya, Itàlia, França, Regne Unit o Holanda.
Teòricament els proveïdors d’emmagatzematge al núvol no tenen accés a les dades dels clients, simplement les emmagatzemen i processen.
Amb aquest codi també pretenen informar el país on estaran els servidors amb arxius dels clients, per saber les normatives de protecció de dades aplicables.
Però remarquen que no tota la responsabilitat de tractament de dades personals recau sobre ells, ja que no poden controlar què fan els seus clients amb les dades personals.
Abans d’enviar documents amb dades de caràcter personal en un servei al núvol, han d’assegurar-se que compleixen amb les normatives de protecció de dades.