Utilización del Cloud Computing por las empresas y el derecho a la protección de datos de carácter p
CLOUD COMPUTING es la prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de recursos compartidos y configurables (redes, aplicaciones, etc…) que se pueden asignar y liberarse rápidamente con una mínima gestión por parte del proveedor de servicios.
Ya en nuestro anterior artículo, describíamos las cinco características esenciales de esta modalidad de prestación de servicios:
1.- Autoservicios bajo demanda. Se puede acceder por el usuario sin necesidad de interacción humana con el proveedor de servicios.
2.- Múltiples formas de acceder a la red, desde teléfonos móviles, hasta tablets, ordenadores portátiles, etc..)
3.- Compartición de recursos. Los recursos de los proveedores son compartidos por múltiples usuarios, a los que se les van asignando capacidades de forma dinámica, según sus peticiones.
4.- Elasticidad. Los recursos se asignan libremente y rápidamente al usuario, dándole la impresión de que esos recursos sean ilimitados.
5. Servicio medido. El proveedor puede medir el servicio efectivamente entregado a cada usuario, de forma que, tanto el proveedor como el usuario, tienen acceso transparente al consumo real de recursos, lo que hace posible el pago por el uso efectivo de los servicios.
No hay ningún tipo de discusión sobre las ventajas técnicas y económicas de este modelo de prestación de servicios Cloud Computing, todos ellos son inmediatos, ya no se ha de invertir en infraestructuras, con disminución de todo tipo de gastos, teniendo el acceso al servicio garantizado desde cualquier lugar del mundo en el que haya una conexión a internet, asegurando al proveedor de servicios la disponibilidad del servicio y la actualización permanente de aplicaciones y sistemas.
Como en cualquier innovación tecnológica surgen dudas relativas a la seguridad e integridad de la información, así como la reserva a perder el control físico de los datos de carácter personal, que dejan de estar en los servidores propiedad del usuario y pasar a situarse en algún lugar indeterminado, en los servidores.
En este artículo, vamos a tratar de ilustrar esta desconfianza, y vamos a basarnos en las respuestas que, muy acertadamente nos ofrece un informe elaborado por la Agencia Española de Protección de datos, en colaboración con el Consejo General de la Abogacía Española, que viene a dar respuesta a estas dudas que han venido surgiendo, debido al auge que está teniendo este modelo de prestación de servicio.
Existen tres aspectos esenciales que se han de tener en cuenta a la hora de decidir contratar servicios de Cloud Computing:
1º. Responsabilidad de la empresa que contrata los servicios sobre el tratamiento de los datos y la normativa aplicable.
Es de aplicación lo dispuesto en la Ley Orgánica 15/99 de 15 de diciembre de Protección de Datos de Carácter Personal (LOPD) y su Reglamento RD 1720/07 de 21 diciembre, y la posición jurídica de la empresa que contrata los servicios de Cloud Computing es la de RESPONSABLE DEL TRATAMIENTO, pues a ellos les corresponde el uso del tratamiento y la posibilidad de optar por la computación en la nube. Por su parte, el prestador de servicios de Cloud Computing, tendrá la naturaleza de ENCARGADO DEL TRATAMIENTO.
Es importante en este aspecto, el suscribir un contrato de prestación de servicios de tratamiento de datos personales, y ello para que se pueda contratar estos servicios con garantías jurídicas y de seguridad en el tratamiento de datos personales, y ello para que se pueda contratar estos servicios con garantías jurídicas y de seguridad en el tratamiento de datos.
El cliente responsable del tratamiento, cuando contrata los servicios Cloud Computing, deberá velar porque el prestador de servicios, cumpla con la normativa española en materia de protección de datos personales, y este aspecto de la ley es imperativo, no es posible pactar la aplicación de una normativa distinta, ni excluir la competencia de la AEPD o de las autoridades autonómicas competentes.
El contrato de prestación de servicios Cloud, puede incluir cláusulas de mediación, sometiendo el conflicto a mediación por parte de una persona independiente o a los Tribunales del estado miembro del establecimiento de la empresa que contrate.
La muy probablemente circunstancia de que los datos no se almacenen en territorio español, obliga a contemplar ¿qué ocurriría si los datos están almacenados en un tercer país?
La Directiva 95/46/CE señala que la transferencia de datos personales a países terceros ha de limitarse a naciones de las que los datos cuenten con lo que se define como “un nivel de protección adecuado”. Se ha de tener en cuenta que no se pueden hacer transferencias internacionales de datos a países que no dispongan un nivel adecuado de protección, salvo que se obtenga la autorización del director de la AEPD.
A estos efectos hay que distinguir:
· Si la transmisión de datos derivadas de la prestación de servicios Cloud se hace en territorio del espacio Económico Europeo, no tienen consideración de transferencia internacional de datos y no resulta pues necesaria la autorización de la AEPD.
· Si los datos se transmiten a cualquiera de los países con un nivel de protección equiparable a la europea, tampoco resulta necesario la autorización de la AEPD.
· Estas consideraciones se extienden a los proveedores radicados en EEUU que se hayan adherido voluntariamente para la prestación de estos servicios al acuerdo de “puerto seguro” (safeharbor) por el que se obliga a cumplir los requisitos equivalentes a los europeos en materia de protección de datos.
· Cuando se contratan los servicios de un proveedor de Cloud Computing que transfiera la información a un país que no ofrezca un nivel adecuado de protección, se tendrá que obtener la autorización de la AEPD.
2º. La seguridad y confidencialidad de los datos
Los aspectos a tener en cuanta durante la selección del proveedor de servicios Cloud son:
· Tanto el responsable que contrata como el propio prestador de servicio, ha de actuar diligentemente, solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad.
· El proveedor del servicio Cloud, ha de garantizar la conservación de los datos, dotando a su infraestructura de los mayores niveles de seguridad física y lógica, y si lo solicita el responsable, en la realización de copias de seguridad.
· El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información, que permitan la compartición e intercambio de información, sin que sea posible que personas no autorizadas, accedan a información reservada.
· El cifrado de los datos almacenados, es una necesaria medida de seguridad, por lo que el proveedor ha de dar a conocer al responsable, las técnicas de cifrado que aplica en sus sistemas.
· Es importante acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y proveedor, así como el mecanismo de borrado de los datos por el proveedor una vez que hayan sido transferidas a un nuevo proveedor designado por el responsable.
· Como los ficheros tienen datos especialmente protegidos, es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
· Si no es posible verificar las medidas de seguridad, se deben contemplar alternativas como por ejemplo la intervención de un tercero independiente.
· Si se produce una incidencia en la seguridad que afecte a los datos, de los que es responsable el cliente del servicio Cloud Computing, que sean puestas en conocimiento por el prestador del servicio, junto con las medidas adoptadas para corregir esa incidencia o daño.
3º. Aspectos esenciales del contrato que debe firmarse
1. Régimen de datos.- es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté autorizado por el responsable.
2. Cumplimiento de la legislación de protección de datos de carácter personal, el proveedor ha de asumir el papel de encargado del tratamiento de los ficheros con las obligaciones legales.
3. Seguridad en el acceso, el proveedor ha de garantizar que la información solo será accesible al responsable o quien este determine.
4. Integridad y conservación, el proveedor ha de disponer de mecanismos de recuperación ante desastres, continuidad en el servicio y conservación de la información, y copias de seguridad si se solicita
5. Disponibilidad. El proveedor ha de obligarse a garantizar la disponibilidad, paradas programadas para el mantenimiento, dando avisos.
6. Portabilidad. El proveedor ha de obligarse a la terminación del servicio, a entregar toda la información al responsable con total garantía, para que éste pueda almacenarla en sus sistemas o en los de otro proveedor.
7. Consecuencias. Para el caso de incumplimiento de las obligaciones recogidas
8. El cumplimiento diligente de las garantías para la protección de datos, permitirá excluir la responsabilidad del cliente que contrata los servicios del Cloud Computing
Con este artículo esperamos despejar todas las dudas que pudiera haber sobre el cumplimiento de la LOPD y los sistemas de gestión Cloud Computing, y que sirva de guía para que usted pueda elegir correctamente a su proveedor de aplicaciones en la nube.