Antes de entrar en el análisis de cómo afecta la legislación en materia de protección de datos al cloud computing, es necesario que entendamos este concepto, que cada vez se encuentra más arraigado y es utilizado no solo por particulares, sino por empresas y organizaciones. Hay que tener en cuenta que la unión que puede producirse entre este servicio y su actividad empresarial, provoca fórmulas que desembocan en una mayor productividad, optimización de los recursos, un desarrollo empresarial y nuevas líneas de negocio, sin que suponga para las empresas la realización de fuertes inversiones.
El 61% de las empresas españolas tienen en marcha proyectos en la nube (75% si hablamos de Pymes). Entre sus planes para la utilización de esta solución encontramos diversos ámbitos, como pueden ser el de colaboración (57%), Email (49%), CRM (37%), Gestión de RRHH (35%), Gestión de Contenidos web (29%) y ofimática (29%) entre otros, según fuentes publicadas en el Diario Expansión.Cloud computing o computación en la nube es una solución tecnológica que permite ofrecer servicios a través de internet tales como la utilización de software, almacenamiento y sincronización de archivos, bases de datos, correo electrónico, gestión remota de información, de forma que estén accesibles a los usuarios de manera virtual, en cualquier momento, en cualquier lugar y desde cualquier dispositivo.
Una vez explicado muy sucintamente en que consiste la nube, debemos de plantearnos una serie de consideraciones legales antes de proceder a la contratación de una solución de Cloud Computing.
¿Qué legislación nos afecta? La legislación en materia de protección de datos, más concretamente la Ley 15/1999 sobre Protección de Datos de Carácter Personal de 13 de Diciembre (LOPD) y el Real Decreto 1720/2007 que la desarrolla.
Dentro de este entorno aparecen la figura del interesado en contratar los servicios de cloud Computing y los prestadores del servicio de esta solución. Los contratantes dentro del marco de la LOPD actúan, como responsables del fichero de toda la información que vuelquen en la nube. Por otro lado el prestador del servicio, adopta la figura de encargado de tratamiento.
¿Y qué significa esto? Que como contratantes debemos cumplir con los requisitos legales de la Ley y su Reglamento y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. El Art. 3.d) de la LOPD define al responsable del fichero como la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. El Art. 3.g) define al encargado de tratamiento como la persona física o jurídica, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Definidas las figuras y decidido la contratación de esta solución, debemos asegurarnos que en las condiciones del contrato contenga lo estipulado el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a datos por parte de terceros. El Art. 12 define el acceso a datos por parte de terceros como «… la realización de tratamientos por cuenta de terceros a los datos deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.»
Este contrato deberá hacer mención expresa, como mínimo, a los siguientes aspectos: Una descripción detallada de las prestaciones a realizar y finalidad; Si el servicio va a tener o no, carácter remunerado; si la prestación va a ser temporal o indefinida; Que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero; que el Encargado del tratamiento no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o utilizará, ni siquiera para su conservación, a otras personas, salvo previa indicación expresa del responsable del fichero; posibilidad de subcontratación de los servicios, contando con autorización del responsable del fichero; las medidas de seguridad que el encargado del tratamiento está obligado a implementar, atendiendo al contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la obligación de guardar secreto respecto de los datos objeto de tratamiento y una vez finalizada la prestación de servicio los datos de carácter personal deberán ser devueltos al responsable del tratamiento.
Además de este requisito legal, debemos exigir unas medidas de seguridad que están establecidas legal y reglamentariamente, más aun cuando por la tipología de la información se traten de datos sensibles y asegurarnos que nos garanticen la confidencialidad, integridad y disponibilidad de los datos e información que subimos a la nube, punto que es considerado como máxima en la implantación de Sistemas de Gestión de la Seguridad de la Información.
Entre alguna de estas medidas como se explica en la Guía para clientes que contraten servicios de Cloud Computing que elaboró la Agencia Española de Protección de Datos se encuentran las siguientes,
- Medidas de seguridad indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
- Nivel de seguridad exigible dependiendo de la sensibilidad de los datos personal.
- Acceso a la información a través de redes de comunicaciones debe completar un nivel de medidas de seguridad equivalente al del acceso en modo local.
Otro punto a tener muy en cuenta es la posibilidad de que al contratar estos servicios, la prestataria que nos ofrece la solución Cloud Computing este ubicada en otro país, y por tanto nos encontremos con una transferencia internacional de datos, ante este hecho debemos analizar las siguientes particularidades,
- Si el proveedor de servicios se encuentra en el Espacio Económico Europeo, en este caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
- En caso de los que se encuentren ubicados en Estados Unidos y que se hayan suscrito a los principios establecidos en el denominado Safe harbor (garantías adecuadas para las entidades estadounidenses adheridas a los principios de «Puerto Seguro» (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de «Puerto Seguro» está disponible en http://www.export.gov/safeharbor. Se considerará que tienen las garantías adecuadas de seguridad.
- Por último, de tratarse de países con características distintas de las descritas en los dos puntos anteriores, deberemos contar con una autorización previa del Director de la Agencia Española de Protección de Datos, que será otorgada en caso de que el exportador de datos cumpla con los requisitos de garantías adecuadas.
Actualmente estos son los países con un nivel adecuado de protección
- Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos. Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003. Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003. Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004. Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008. Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010. Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010. Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011. Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012. Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD.
Son muchos los beneficios que obtenemos de la utilización de la nube tanto a nivel empresarial como personal, pero antes de hacer uso de estos servicios en los que volcamos todo tipo de información, debemos asegurarnos que la empresa que los vaya a albergar cumpla con todos los requisitos legales y de seguridad para garantizarnos su total protección ya que no hay activo más importante que nuestra información.