lunes, 13 de mayo de 2013

GUIA PARA CLIENTES Y PROVEEDORES EN CLOUD COMPUTING.

13/05/2013.
FUENTES: AGPD y Ayudaleyproteccion de datos.

La Agencia Española de Protección de Datos (AEPD) ha editado una Guía para clientes que contraten servicios de cloud computing (descarga gratis PDF al final de este artículo). Además de las oportunas definiciones sobre qué es cloud computing, sus tipos, actores principales, modalidades de servicio, riesgos y por supuesto garantías contractuales, el documento aporta una interesante lista de puntos a repasar antes de contratar servicios en la nube.

Por otro lado, como documento complementario también ha editado esta Guía de orientaciones para prestadores de servicios de cloud computing (descarga PDF gratis al final de este artículo) que de forma conjunta presentan una visión global de las obligaciones legales en materia de privacidad para todas las partes implicadas.

La tesis que con mayor reiteración defiende la AEPD a lo largo de la guía (especialmente a las grandes corporaciones que ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesión cerrados y no negociables a sus potenciales clientes), es que en el caso de que los clientes/responsables del tratamiento de los datos personales estén sujetos a la ley española, entonces la relación jurídica con el prestador de servicios estará sometida a la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y sus normas de desarrollo, sin que ésta pueda ser una cuestión de libre disposición para las partes, es decir, sin que pueda ser contractualmente modificada.

Asimismo se señala que el proveedor de servicios de cloud computing que implican el acceso a datos personales será un prestador de servicios, es decir, un encargado del tratamiento en la terminología LOPD y debe por tanto adaptarse al régimen de garantías que la normativa de protección de datos personales atribuye a los ciudadanos.

El cliente que contrata a un prestador de servicios de cloud computing tiene una obligación legal de diligencia para ‘velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto’ en la normativa de protección de datos personales (art. 20.2 del Reglamento de desarrollo de la LOPD –RLOPD–).

El cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del prestador de servicios de cloud computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente.

¿Qué debo analizar como cliente y tener en cuenta antes de contratar servicios de cloud computing?


Se debe evaluar la tipología de datos que trata en función del nivel de seguridad exigido por la Ley Orgánica de Protección de Datos (LOPD) y decidir para qué datos personales contratará servicios en la nube y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor puede tratar los datos, ya que debe garantizarse expresamente que no los utilizará para otra finalidad que no tenga relación con los servicios contratados

Garantías que deben incorporarse al contrato


  • El proveedor del servicio debe informar al cliente de los servicios y empresa/s a subcontratar (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
  • El cliente debe poder tomar decisiones como consecuencia de la intervención de subcontratistas.
  • El proveedor debe firmar con los subcontratistas un contrato con garantías equivalentes a las incluidas en el contrato con el cliente.

Responsabilidad de cada parte


El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio.

Obligaciones como cliente


Se debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios. En caso afirmativo tiene que dar su conformidad a la participación de terceras empresas, tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web) y el proveedor debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.

Además el contrato a firmar debe incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes puntos.

Ubicación de los datos personales. Transferencia internacional de datos


La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.

Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.

Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

Garantías adecuadas para las transferencias internacionales de datos


Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la AEPD o por Decisión de la Comisión Europea (lista de países con nivel adecuado de protección). En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la AEPD para su inscripción en el Registro General de Protección de Datos.

También se consideran garantías adecuadas las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (lista de entidades adheridas). Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la AEPD.

En otro caso, la transferencia internacional de datos necesitará autorización del Director de la AEPD, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas (si quiere conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas garantías haga clic aquí).

Medidas de seguridad exigibles


El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Garantías sobre medidas de seguridad


Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.

Asimismo debe ser informado diligentemente sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse.

Compromisos de confidencialidad


El proveedor del servicio debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

Garantía de recuperación de los datos personales (portabilidad)


La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.

El proveedor debe destruir los datos personales si se extingue el contrato


Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor o por un tercero).

Ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO)


El cliente de servicios de cloud computing continúa siendo responsable del tratamiento de los datos personales, y está por ello obligado a facilitar el ejercicio de los derechos ARCO a los interesados. Puesto que en ocasiones necesitará la colaboración del prestador de servicios de cloud computing, éste debe prever la necesidad de proporcionar información al respecto y, cuando se solicite, hacerla efectiva de forma diligente..