FUENTES: AGPD y Ayudaleyproteccion de datos.
La Agencia Española de Protección de Datos (AEPD) ha editado una Guía para clientes que contraten servicios de cloud computing (descarga gratis PDF al final de este artículo). Además de las oportunas definiciones sobre qué es cloud computing, sus tipos, actores principales, modalidades de servicio, riesgos y por supuesto garantías contractuales, el documento aporta una interesante lista de puntos a repasar antes de contratar servicios en la nube.
Por otro lado, como documento complementario también ha editado esta Guía de orientaciones para prestadores de servicios de cloud computing (descarga PDF gratis al final de este artículo) que de forma conjunta presentan una visión global de las obligaciones legales en materia de privacidad para todas las partes implicadas.
La tesis que con mayor reiteración defiende la
AEPD a lo largo de la guía (especialmente a las grandes corporaciones que
ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesión
cerrados y no negociables a sus potenciales clientes), es que en el caso de que
los clientes/responsables del tratamiento de los datos personales estén sujetos
a la ley española, entonces la relación jurídica con el prestador de
servicios estará sometida a la Ley Orgánica de Protección de Datos de carácter
personal (LOPD) y sus normas de desarrollo, sin que ésta pueda ser una
cuestión de libre disposición para las partes, es decir, sin que pueda ser
contractualmente modificada.
Asimismo se señala que el proveedor de servicios
de cloud computing que implican el acceso a datos personales será un
prestador de servicios, es decir, un encargado del tratamiento en la
terminología LOPD y debe por tanto adaptarse al régimen de garantías que la
normativa de protección de datos personales atribuye a los ciudadanos.
El cliente que contrata a un prestador de
servicios de cloud computing tiene una obligación legal de diligencia para
‘velar por que el encargado del tratamiento reúna las garantías para el
cumplimiento de lo dispuesto’ en la normativa de protección de datos personales
(art. 20.2 del Reglamento de desarrollo de la LOPD –RLOPD–).
El cumplimiento de este deber de diligencia ha de
tener como contrapartida por parte del prestador de servicios de cloud
computing una correlativa diligencia a la hora de facilitar
información, en particular sobre los mecanismos que garantizan el cumplimiento de
las obligaciones derivadas de la normativa de protección de datos, para poder
considerarlo como un proveedor transparente.
¿Qué
debo analizar como cliente y tener en cuenta antes de contratar servicios de cloud
computing?
Se debe evaluar la tipología de datos que trata
en función del nivel de seguridad exigido por la Ley Orgánica de Protección de
Datos (LOPD) y decidir para qué datos personales contratará servicios en la
nube y cuáles prefiere mantener en sus propios sistemas de información. Esta
decisión es importante porque delimitará las finalidades para las que el
proveedor puede tratar los datos, ya que debe garantizarse expresamente que no
los utilizará para otra finalidad que no tenga relación con los servicios
contratados
Garantías
que deben incorporarse al contrato
- El proveedor del
servicio debe informar al cliente de los servicios y empresa/s a
subcontratar (incluido el país en el que desarrolla sus servicios si están
previstas transferencias internacionales de datos).
- El cliente debe poder
tomar decisiones como consecuencia de la intervención
de subcontratistas.
- El proveedor debe firmar
con los subcontratistas un contrato con garantías equivalentes a las
incluidas en el contrato con el cliente.
Responsabilidad
de cada parte
El cliente que contrata servicios de cloud
computing sigue siendo responsable del tratamiento de los datos
personales. Aunque los contrate con una gran compañía multinacional la
responsabilidad no se desplaza al prestador del servicio.
Obligaciones
como cliente
Se debe solicitar y obtener información sobre si
intervienen o no terceras empresas (subcontratistas) en la prestación de
servicios. En caso afirmativo tiene que dar su conformidad a la participación
de terceras empresas, tiene que poder conocer las terceras empresas que
intervienen (p. ej. pudiendo acceder a una página web) y el proveedor debe
asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas
para el tratamiento de los datos equivalentes a los que él mismo asume.
Además el contrato a firmar debe incorporar
cláusulas contractuales para la protección de los datos personales según
se detalla en las siguientes puntos.
Ubicación
de los datos personales. Transferencia internacional de datos
La localización de los datos tiene importancia
porque las garantías exigibles para su protección son distintas según los
países en que se encuentren.
Los países del Espacio Económico Europeo ofrecen
garantías suficientes y no se considera legalmente que exista una
transferencia internacional de datos. El Espacio Económico Europeo está
constituido por los países de la Unión Europea e Islandia, Liechtenstein y
Noruega.
Si los datos están localizados en países que no
pertenecen al Espacio Económico Europeo habría una transferencia
internacional de datos, en cuyo caso, y dependiendo del país en que se
encuentren, deberán proporcionarse garantías jurídicas adecuadas.
Garantías
adecuadas para las transferencias internacionales de datos
Se considera una garantía adecuada que el país de
destino ofrezca un nivel de protección equivalente al del Espacio
Económico Europeo y así se haya acordado por la AEPD o por Decisión de la
Comisión Europea (lista de países con nivel adecuado de protección). En ese
caso será suficiente con hacer constar la transferencia en la notificación del
fichero realizada a la AEPD para su inscripción en el Registro General de
Protección de Datos.
También se consideran garantías adecuadas las
proporcionadas por las empresas ubicadas en los Estados Unidos que hayan
suscrito los principios de Puerto Seguro (lista de
entidades adheridas). Al igual que en el caso anterior será suficiente con
hacer constar la transferencia en la notificación del fichero a la AEPD.
En otro caso, la transferencia internacional de
datos necesitará autorización del Director de la AEPD, que podrá otorgarse
en caso de que el exportador de datos aporte garantías adecuadas (si quiere
conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas
garantías haga clic aquí).
Medidas
de seguridad exigibles
El nivel de seguridad exigible depende de la
mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a
la información a través de redes de comunicaciones debe contemplar un nivel de
medidas de seguridad equivalente al de los accesos en modo local.
Garantías
sobre medidas de seguridad
Como cliente debe tener la opción de comprobar
las medidas de seguridad, incluidos los registros que permiten conocer
quién ha accedido a los datos de los que es responsable.
Asimismo debe ser informado diligentemente sobre
las incidencias de seguridad que afecten a los datos de los que el propio
cliente es responsable, así como de las medidas adoptadas para resolverlas o de
las medidas que el cliente ha de tomar para evitar los daños que puedan
producirse.
Compromisos
de confidencialidad
El proveedor del servicio debe comprometerse a
garantizar la confidencialidad utilizando los datos sólo para los servicios
contratados. Asimismo debe comprometerse a dar instrucciones al personal que
depende de él para que mantenga la confidencialidad.
Garantía
de recuperación de los datos personales (portabilidad)
La portabilidad significa que el proveedor ha de
obligarse, cuando pueda resolverse el contrato o a la terminación del
servicio, a entregar toda la información al cliente en el formato que se
acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien
optar porque se traslade a los de un nuevo proveedor en un formato que
permita su utilización, en el plazo más breve posible, con total garantía
de la integridad de la información y sin incurrir en costes adicionales.
El
proveedor debe destruir los datos personales si se extingue el contrato
Deben preverse mecanismos que garanticen el
borrado seguro de los datos cuando lo solicite el cliente y, en todo caso,
al finalizar el contrato. (Un mecanismo apropiado es requerir una
certificación de la destrucción emitido por el proveedor o por un tercero).
Ejercicio
de los derechos de acceso, rectificación, cancelación y oposición (ARCO)
El cliente de servicios de cloud computing continúa
siendo responsable del tratamiento de los datos personales, y está por ello
obligado a facilitar el ejercicio de los derechos ARCO a los interesados.
Puesto que en ocasiones necesitará la colaboración del prestador de servicios
de cloud computing, éste debe prever la necesidad de proporcionar
información al respecto y, cuando se solicite, hacerla efectiva de forma
diligente..