martes, 13 de agosto de 2013

España: Protección de datos ante la contratación de servicios “cloud computing”


Por José J. Ivars
Director Área Derecho y Tecnologías de la información en Mompó Abogados

Antes de entrar en el análisis de cómo afecta la legislación en materia de protección de datos a al cloud computing, es necesario que entendamos este concepto, que cada vez se encuentra más arraigado y es utilizado no solo por particulares, sino por empresas  y organizaciones  por la unión que puede producirse entre este servicio y su actividad empresarial, provoca fórmulas que desembocan en una mayor productividad, optimización de los recursos, un desarrollo empresarial y  nuevas líneas de negocio, sin que suponga para las empresas la realización de fuertes inversiones.
Cloud computing o computación en la nube es una solución tecnológica que permite ofrecer servicios a través de internet tales como la utilización de software, almacenamiento y sincronización de archivos, bases de datos, correo electrónico, gestión remota de información, de forma que estén accesibles a los usuarios de manera virtual, en cualquier momento, en cualquier lugar y desde cualquier dispositivo.

El 61% de las empresas españolas tienen en marcha proyectos en la nube y el 75% si hablamos de Pymes. Desarrollando planes para la utilización de esta solución sobre todo en ámbitos de colaboración (57%), Email (49%), CRM (37%), Gestión de RRHH (35%), Gestión de Contenidos web (29%) y ofimática (29%) entre otros, según fuentes publicadas en el Diario Expansión.
Una vez explicado muy sucintamente en que consiste la nube, debemos de plantearnos una serie de consideraciones legales antes de proceder a la contratación de una solución de Cloud Computing.

¿Qué legislación nos afecta? Es la legislación en materia de protección de datos, más concretamente la Ley 15/1999 sobre Protección de Datos de Carácter Personal de 13 de Diciembre (LOPD) y el Real Decreto 1720/2007 que la desarrolla.
Y dentro de este entorno aparecen la figura del interesado en contratar los servicios de cloud Computing y los prestadores del servicio de esta solución. Los contratantes dentro del marco de la LOPD, actúan como responsables del fichero de toda la información que vuelquen en la nube. Por otro lado el prestador del servicio, que adopta la figura de encargado de tratamiento.
¿Y qué significa esto? Que como contratantes debemos cumplir con los requisitos legales de la Ley y su Reglamento y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. El Art. 3.d) de la LOPD define al responsable del fichero como la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. El Art. 3.g) define al encargado de tratamiento como la persona física o jurídica, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Definidas las figuras y decidido la contratación de esta solución debemos asegurarnos que  en las condiciones del contrato contenga lo estipulado el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a datos por parte de terceros, el Art. 12 define el acceso a datos por parte de terceros como ”… la realización de tratamientos por cuenta de terceros a los datos deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”
Este contrato deberá hacer mención expresa, como mínimo, a los siguientes aspectos: Una descripción detallada de las prestaciones a realizar y finalidad; Si el servicio va a tener o no, carácter remunerado; si la prestación va a ser temporal o indefinida; Que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero; que el Encargado del tratamiento no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o utilizará, ni siquiera para su conservación, a otras personas, salvo previa indicación expresa del responsable del fichero; posibilidad de subcontratación de los servicios, contando con autorización del responsable del fichero; las medidas de seguridad que el encargado del tratamiento está obligado a implementar, atendiendo al contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la obligación de guardar secreto respecto de los datos objeto de tratamiento y una vez finalizada la prestación de servicio los datos de carácter personal deberán ser devueltos al responsable del tratamiento.

Además de este requisito legal debemos exigir unas medidas de seguridad que están establecidas legal y reglamentariamente, más aun cuando por la tipología de la información se traten de datos sensibles, y  asegurarnos que nos garanticen la confidencialidad, integridad y disponibilidad de los datos e información que subimos a la nube, punto este que es considerado como máxima en la implantación de Sistemas de Gestión de la Seguridad de la Información.

Entre alguna de estas medidas como se explica en la Guía para clientes que contraten servicios de Cloud Computing que elaboró la Agencia Española de Protección de Datos se encuentran las siguientes,
  • Medidas de seguridad indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
  • Nivel de seguridad exigible dependiendo de la sensibilidad de los datos personal.
  • Acceso a la información a través de redes de comunicaciones debe completar un nivel de medidas de seguridad equivalente al del acceso en modo local.
Más..

Fuente:  elderecho.com