Por José J. Ivars
Director Área Derecho y Tecnologías de la información en Mompó Abogados
Antes
de entrar en el análisis de cómo afecta la legislación en materia de
protección de datos a al cloud computing, es necesario que entendamos
este concepto, que cada vez se encuentra más arraigado y es utilizado no
solo por particulares, sino por empresas y organizaciones por la
unión que puede producirse entre este servicio y su actividad
empresarial, provoca fórmulas que desembocan en una mayor productividad,
optimización de los recursos, un desarrollo empresarial y nuevas
líneas de negocio, sin que suponga para las empresas la realización de
fuertes inversiones.
Cloud
computing o computación en la nube es una solución tecnológica que
permite ofrecer servicios a través de internet tales como la utilización
de software, almacenamiento y sincronización de archivos, bases de
datos, correo electrónico, gestión remota de información, de forma que
estén accesibles a los usuarios de manera virtual, en cualquier momento,
en cualquier lugar y desde cualquier dispositivo.
El
61% de las empresas españolas tienen en marcha proyectos en la nube y
el 75% si hablamos de Pymes. Desarrollando planes para la utilización de
esta solución sobre todo en ámbitos de colaboración (57%), Email (49%),
CRM (37%), Gestión de RRHH (35%), Gestión de Contenidos web (29%) y
ofimática (29%) entre otros, según fuentes publicadas en el Diario
Expansión.
Una
vez explicado muy sucintamente en que consiste la nube, debemos de
plantearnos una serie de consideraciones legales antes de proceder a la
contratación de una solución de Cloud Computing.
¿Qué
legislación nos afecta? Es la legislación en materia de protección de
datos, más concretamente la Ley 15/1999 sobre Protección de Datos de
Carácter Personal de 13 de Diciembre (LOPD) y el Real Decreto 1720/2007
que la desarrolla.
Y
dentro de este entorno aparecen la figura del interesado en contratar
los servicios de cloud Computing y los prestadores del servicio de esta
solución. Los contratantes dentro del marco de la LOPD, actúan como
responsables del fichero de toda la información que vuelquen en la nube.
Por otro lado el prestador del servicio, que adopta la figura de
encargado de tratamiento.
¿Y
qué significa esto? Que como contratantes debemos cumplir con los
requisitos legales de la Ley y su Reglamento y exigir el cumplimiento de
unos mínimos jurídicos y técnicos a la empresa prestataria del
servicio. El Art. 3.d) de la LOPD define al responsable del fichero como
la persona física o jurídica, de naturaleza pública o privada, que
decida sobre la finalidad, contenido y uso del tratamiento. El Art. 3.g)
define al encargado de tratamiento como la persona física o jurídica,
servicio o cualquier otro organismo que solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento.
Definidas
las figuras y decidido la contratación de esta solución debemos
asegurarnos que en las condiciones del contrato contenga lo estipulado
el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a
datos por parte de terceros, el Art. 12 define el acceso a datos por
parte de terceros como ”… la realización de tratamientos por cuenta de
terceros a los datos deberá estar regulada en un contrato que deberá
constar por escrito o en alguna otra forma que permita acreditar su
celebración y contenido, estableciéndose expresamente que el encargado
de tratamiento únicamente tratará los datos conforme a las instrucciones
del responsable del tratamiento, que no los aplicará o utilizará con
fin distinto al que figure en dicho contrato, ni los comunicará, ni
siquiera para su conservación, a otras personas.”
Este
contrato deberá hacer mención expresa, como mínimo, a los siguientes
aspectos: Una descripción detallada de las prestaciones a realizar y
finalidad; Si el servicio va a tener o no, carácter remunerado; si la
prestación va a ser temporal o indefinida; Que el encargado de
tratamiento únicamente tratará los datos conforme a las instrucciones
del responsable del fichero; que el Encargado del tratamiento no los
aplicará o utilizará con fin distinto al que figure en dicho contrato,
ni los comunicará o utilizará, ni siquiera para su conservación, a otras
personas, salvo previa indicación expresa del responsable del fichero;
posibilidad de subcontratación de los servicios, contando con
autorización del responsable del fichero; las medidas de seguridad que
el encargado del tratamiento está obligado a implementar, atendiendo al
contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la
obligación de guardar secreto respecto de los datos objeto de
tratamiento y una vez finalizada la prestación de servicio los datos de
carácter personal deberán ser devueltos al responsable del tratamiento.
Además
de este requisito legal debemos exigir unas medidas de seguridad que
están establecidas legal y reglamentariamente, más aun cuando por la
tipología de la información se traten de datos sensibles, y asegurarnos
que nos garanticen la confidencialidad, integridad y disponibilidad de
los datos e información que subimos a la nube, punto este que es
considerado como máxima en la implantación de Sistemas de Gestión de la
Seguridad de la Información.
Entre
alguna de estas medidas como se explica en la Guía para clientes que
contraten servicios de Cloud Computing que elaboró la Agencia Española
de Protección de Datos se encuentran las siguientes,
- Medidas de seguridad indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
- Nivel de seguridad exigible dependiendo de la sensibilidad de los datos personal.
- Acceso a la información a través de redes de comunicaciones debe completar un nivel de medidas de seguridad equivalente al del acceso en modo local.
Fuente: elderecho.com
No hay comentarios:
Publicar un comentario