El Cloud Computing según la Agencia de Protección de Datos. ¿Está el enemigo…?

Coincidiendo con la celebración de la 5ª sesión anual abierta de la AEPD, nuestros amigos de la Agencia de Protección de Datos presentaron en sociedad dos documentos sobre computación en la nube y protección de datos. Uno titulado:
“Orientaciones para prestadores de servicios de cloud computing” y el otro denominado “Guía para clientes que contraten servicios de cloud computing”.

En este artículo intentaremos desgranar las principales recomendaciones incluidas en estos documentos

Si Ofreces un Servicio de Cloud Computing debes tener en cuenta todo esto:

Lo primero que debes preguntarte es si tu servicio cloud está destinado a tratar o almacenar datos de carácter personal. Si la respuesta es afirmativa, busca una silla cercana, siéntate y lee con atención todos los requisitos que deberás cumplir:

1. Lo primero que debes saber es que eres un encargado de tratamiento y por tanto, el contrato que utilices para la venta de tus servicios debe contener todas las previsiones del art. 12 de la LOPD. Si lo que tienes son unas condiciones de contratación electrónicas que aceptan tus clientes, bastará con que esas previsiones se incorporen en el clausulado de las condiciones de contratación.

2. Si alguna parte del servicio está prestado por una tercera empresa que tengas subcontratada. Ej. Hosting, tienes que cumplir con estos requisitos:

Envía tus boletines y newsletter de forma legal

Únete a nuestra comunidad y recibe gratis la guía definitiva para enviar tus boletines de forma legal

– Debes mencionar los servicios subcontratados, la empresa que presta ese servicio y el país donde está ubicada.

– El cliente debe poder tomar decisiones relacionadas con la intervención de subcontratistas. ¿Esto que significa? Que el cliente debe autorizar la subcontratación.

– Debes tener firmado un contrato de encargado de tratamiento con la empresa subcontratada

3. Aplicar las medidas de seguridad exigidas por el R.D. 1720/2007 según la naturaleza de los datos que vayan a ser tratados o almacenados en el servicio de cloud computing.

4. Garantizar la portabilidad de los datos. Los datos son del cliente y debes garantizar que el cliente puede llevárselos en cualquier momento.

5. Cumplir con los requisitos para transferencias internacionales de datos. Si tu servicio implica la cesión, tratamiento o alojamiento de los datos en empresas o servidores ubicados fuera de la Unión Europea, debes tener muy presente las normas relativas a transferencias internacionales de datos. Aquí puedes encontrarte con tres escenarios distintos:

– Un país de los que la Comisión Europea ha considerado que tienen un nivel de protección adecuado (aquí puedes consultar la lista). En este caso no hay problema y solamente tienes que cumplir los mismos requisitos que con otro encargado de tratamiento que esté dentro de la U.E.

– Que la empresa que va a tratar o almacenar los datos esté en Estados Unidos y se haya adherido al acuerdo de puerto seguro (aquí puedes consultar las empresas adheridas). En este caso tampoco debes hacer nada especial, basta con tratar a esta empresa como un encargado de tratamiento especial.

– Que la empresa que va a tratar o almacenar los datos esté en un país que no cumpla los requisitos anteriores. En este caso debes solicitar una autorización ante el Director de la Agencia, con carácter previo al tratamiento de los datos.

6. Facilitar al cliente el ejercicio de los Derechos Arco (Acceso, rectificación, cancelación u oposición).

Si eres un cliente de un servicio de Cloud Computing debes tener en cuenta todo esto:

1. Tú eres el responsable del tratamiento de los datos, aunque el prestador de servicios cloud asuma su responsabilidad por los “desmanes” que cometa, ten en cuenta que tú serás el responsable de su elección, supervisión y que los datos están incluidos en tus ficheros. Así que cuidado con tomar decisiones basándonos únicamente en precios.

2. Por muy grande que sea la empresa o muy lejana que esté, los señores de la Agencia exigen que en el contrato aparezcan los requisitos exigidos por el art. 12 de la LOPD puesto que el prestador de servicios de cloud computing se convertirá en encargado de tratamiento. Mucho ojo con esto.

3. Digan lo que digan las infumables condiciones de contratación, la legislación aplicable siempre será la Española. ¿No decían que en nuestro imperio nunca se ponía el sol? Pues para la LOPD tampoco. Así de clarito lo dicen desde la Agencia en su flamante nueva guía, diga lo que diga el proveedor, tus ficheros están sometidos a la legislación española y por tanto debes cumplirla.

4. Debo conocer y autorizar las empresas subcontratadas que prestan servicios para el proveedor de cloud computing.

5. Debo conocer la localización de los datos (al menos el país)

6. Tengo que conocer que niveles de seguridad ofrece el prestador del servicio.

7. Debo asegurarme que el prestador del servicio cumple con las medidas de seguridad que ofrece. ¿Cómo recomienda la Agencia que hagamos esto? Pues haciendo gala de un gran sentido del humor nos ofrecen estas alternativas:

– Solicitar al proveedor la opción de poder comprobar las medidas de seguridad e incluso comprobar los registros de quien ha accedido a los datos

– Solicitar al proveedor que nos acredite con alguna certificación de seguridad adecuada que cumple con las medidas de seguridad que dice aplicar. Ej. ISO 27001

– Acordar con el proveedor del servicio que un tercero independiente audite la seguridad. ¿Os imagináis llamando a Amazon para ver cuando va vuestro auditor a auditar las medidas de seguridad del Servidor que tenéis en EC2?

– Solicitar información adicional al proveedor sobre como auditan sus medidas de seguridad.

8. El proveedor debe ofrecerme unos compromisos de confidencialidad mínimos:

– Comprometerse por escrito a no utilizar los datos para fines distintos a la prestación de los servicios contratados.

– Garantizar que su personal se ha comprometido a guardar confidencialidad.

9. Debo tener garantías de portabilidad, es decir que cuando finalice el servicio puedo retirar los datos y reutilizarlos en mis sistemas o en otro proveedor sin mayores dificultades.

10. Debo tener garantías de que el proveedor elimina los datos de forma segura una vez que haya finalizado la contratación del servicio.

11.- Debo utilizar servicios de cloud computing que me permitan dar respuesta a las peticiones de Derechos Arco (Acceso, rectificación, cancelación u oposición).

Nuestra Opinión

Nada nuevo bajo el sol. Desgraciadamente no se ha avanzado ni un milímetro de las posturas ya conocidas y mantenidas por la Agencia. Creo sinceramente que han perdido una oportunidad de oro para hacer una interpretación de la norma mas acorde con los tiempos que corren y con nuestro peso como país en Internet.

¿Qué ocasiona este inmovilismo? Que sigamos a la cola, ¿alguien piensa realmente que Amazon o Google van a cambiar sus condiciones de contratación para adaptarse a lo que pide la LOPD?.

Para Finalizar un Poco de Humor

Pues eso, como pequeño premio para los que habéis aguantado hasta el final este “ladrillo” os dejo una recreación “alegórica-festiva” de lo que supondría para alguien como por ejemplo el inefable Miguel Gila, seguir casi al pie de la letra las indicaciones de la AEPD.

“- Buenas tardes señorita

– ¿Me pone con Google?.

– Si ,espero……

– ¿Eso es Google?

– ¿Está el encargao?. Que se ponga.

– ¿Es usted el que manda ahí?.

– Yo soy Miguel…., Miguel Gila, de España, si hombre Españaaa, ¿toros?, ¿flamenco? Ya sabe….

– Eso es … justo ahí.

– Pues resulta que soy cliente suyo, me he abierto una cuenta de Gmail y quería preguntarle unas cosillas que me pide la Agencia de Protección de Datos. Naaa, unas tontunas.

– Empiezo:

– ¿Donde guardan mis datos?

– ¿En la nube? ¿y eso por donde cae? Es que yo no tengo mucho mundo ¿sabe?. A mí me sacan de mi pueblo y ya me pierdo.

– Ahhh que están en varios sitios a la vez. Pero digo yo ¿no se les perderán no? que ustedes los americanos son mu despistaos

– Entiendo, que tienen copias de seguridad.

– Y a propósito ¿Qué nivel de seguridad aplican?

– ¿El máximo?. No, esa respuesta no me vale… puede elegir entre Básico, Medio o Alto, pero máximo no me viene. Bueeeeno pues nos quedamos con alto que digo yo que para el caso será lo mismo.

– Otra preguntilla ¿Cuándo puede ir mi auditor a comprobar sus medidas de seguridad?.

– Bueno auditor, auditor tampoco es, en realidad es un político disfrazado, que aquí es que nos sobran y como lo único que saben hacer es poner pegas a todo, pues he pensado que lo mismo nos valía.

– No, el martes no puede ser que hay fútbol.

– Oigaaaaaa. No se ponga así que yo no le he faltado.

– Mire usted que como siga así, cierro mi cuenta y me llevo el correo a otro sitio….

– Pues no me ha colgado el tío…

– Estos americanos…….”

Bueno, bromas aparte si tenéis cualquier duda, comentario, discrepancia o insulto sobre estas líneas no dudéis en utilizar los comentarios del blog o mandarnos un email a info@techlegal.es

Saludos Techlegalianos.

 

Esta Web utiliza cookies propias y ajenas para analizar y mejorar nuestra página web. Si continua navegando, consideramos que acepta su uso. Para mas información consulte nuestra Politica de Cookies