Noticias
El Ministerio de Justicia abre un periodo de consulta pública previa para adaptar la normativa española al RG de Protección de Datos
    Le informamos que El Ministerio de Justicia ha abierto un periodo de consulta pública previa …

Experto LOPD
Resumen de principales novedades y aspectos RG Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de nuevos materiales y recursos con los que facilitar …

Home

Los riesgos de la contratación en la nube (cloud computing) ¿están nuestros datos seguros?

Usar puntuación: / 0
MaloBueno 
Noticias - Experto LOPD
 Atendiendo las premisas de la Agencia Española de Protección de Datos y de la Organización Internacional CSA (Cloud Security Alliance), el primer riesgo del cloud es la falta de transparencia sobre las condiciones en las que prestan el servicio los proveedores de cloud y el segundo riesgo, que nace como consecuencia del primero es, la falta de control del responsable (el cliente de cloud) sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio,  porque al no saber donde están ubicados los datos, tendrá serias dificultades para poder disponer de ellos. 

Es el prestador de cloud el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la ausencia de una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, y de esta forma, no podremos en modo alguno evaluar los riesgos y establecer los controles adecuados. 

Por lo dicho, cuando queremos contratar un servicio de cloud computing, la única manera que tenemos de evitar esos riegos es la formalización de un contrato de prestación de servicios con TODAS las pautas que establece la Ley Orgánica de Protección de Datos (articulo 12 LOPD), aunque bien es cierto que, normalmente no se puede negociar con los proveedores de cloud las cláusulas del contrato, ya que estos nos ofrecen contratos de adhesión (contratos tipo) con clausulas contractuales cerradas y de esta forma desaparece la posibilidad de fijar las condiciones de contratación en función del tipo de datos que se van a procesar. 

Tampoco participaremos en el establecimiento de las medidas de seguridad exigibles, que  han de servir para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad. 

Siguiendo con el tenor legal del artículo 12 mencionado , se habría de poder definir el esquema de subcontratación, de modo que el prestador del servicio de cloud nos informara sobre la tipología de servicios que pueden subcontratarse con terceros, qué empresas intervienen y, por último, pudiéramos manifestar nuestra conformidad a su participación, pero, desgraciadamente, tampoco podemos participar en ello. 

También deberíamos estar bien informados sobre la concreta localización de los datos, porque las garantías exigibles para su protección son distintas según los países en que se encuentren, y nuestros datos pueden estar ubicados en cualquier punto del planeta, sin que nosotros lo sepamos, lo único que sabemos  a ciencia cierta es que los países del Espacio Económico Europeo ofrecen garantías suficientes y cuando nuestros datos viajan en este marco, no se considera legalmente que exista una transferencia internacional de datos (el Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega), y si los datos están localizados en países que no pertenecen al Espacio Económico Europeo entonces sí habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas. 

El proveedor debería obligarse, cuando termine la prestación del servicio o se resuelva el contrato por cualquier otra causa, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales, esto significa garantizar la  portabilidad de los datos. Esto es particularmente importante en los casos en que el proveedor de cloud modifique unilateralmente las condiciones de prestación del servicio dado su poder de negociación frente al cliente. 

 El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad. 

Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. 

El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos. 

En conclusión, no deberíamos firmar ningún contrato de prestación de servicios de cloud computing al margen de las pautas de la LOPD, porque la ignorancia de las pautas de la ley, no exime de su cumplimiento, y habremos de tener muy en cuenta que  ninguna de las dos partes (el cliente de cloud y el proveedor de cloud), están exentas de las responsabilidades derivadas del incumplimiento de la LOPD. Si su proveedor de cloud no le permite hacer todo lo aquí descrito, es decir, cumplir con la ley, debería plantearse la posibilidad de ir buscándose otro. 

Fuentes: AEPD, CSA.