El “Cloud computing” y la protección de datos.Javier Álvarez | Histórico del BlogCanalProfesional

El “Cloud computing” y la protección de datos.Javier Álvarez

Resulta habitual encontrarse con profesionales y empresas que deciden almacenar online información, más o menos sensible, relacionada con su actividad (por ejemplo, datos de clientes, documentos, presentaciones, copias de seguridad…), o bien, optan por utilizar aplicaciones informáticas de gestión (o de otro tipo) directamente a través de Internet, o más bien, en lo que se ha llamado por sus siglas en ingles como “cloud”, es decir, en la nube.

Pues bien, técnicamente una nube es un conjunto de dispositivos de comunicaciones por los que circula la información en los procesos de transmisión a través de Internet. Cuando a ese medio de transporte se le añade la posibilidad de procesamiento de la información, es cuando nos encontramos con el conocido como cloud computing. Se trata, en síntesis, de utilizar una aplicación informática que almacena la información en servidores que están bajo el control de una tercera entidad prestadora del servicio.

El cloud computing se caracteriza porque el usuario dispone de servicios a la carta o bajo demanda compartiendo recursos con otros usuarios, con independencia de la localización exacta de dichos recursos que puede no ser conocida por el usuario del sistema. Por otro lado, se puede acceder a la red desde diferentes dispositivos (PC, móvil, PDA…) y de una forma rápida y aparentemente ilimitada. Existe, por otro lado, una capacidad de control por parte del prestador del servicio sobre el uso y el nivel de recursos utilizado.

Los tipos de servicios que se pueden desplegar en un cloud computing pueden presentarse a nivel de software (las aplicaciones son del prestador y se ejecutan en la nube); de plataforma (las aplicaciones del usuario se ejecutan en la infraestructura del proveedor); y de infraestructura (el proveedor ofrece los recursos básicos y el usuario, o consumidor, controla el sistema operativo e incluso determinados componentes de red, como por ejemplo, firewalls o cortafuegos).

Tal y como refiere la Revista Abogados del CGAE, de Junio de 2011, un informe realizado por el “Centre for Economics and Business Research, que data de 2010, estima que la tecnología cloud se convertirá en cinco años en uno de los principales impulsores de la creación de negocio, competitividad y crecimiento económico. Este estudio prevé la reducción de costes neta acumulativa, derivada del empleo de esta solución tecnológica, entre los años 2010 y 2015, de 22.000 millones de euros.   

En cuanto a los principales frenos a la adopción de sistemas de servicios cloud, la mayoría de los estudios que pueden consultarse señalan, en primer lugar la aparente falta de seguridad, seguido muy de cerca de la incertidumbre que genera la legislación relativa a la ubicación de la información, especialmente respecto a la normativa sobre protección de datos. Y no resulta baladí esta inquietud respecto a los problemas de seguridad física, lógica y jurídica que pueden (y de hecho, se dan) en los servicios de cloud, los cuales se  están prestando por entidades ubicadas en países en los que la instalación de procesos de este tipo es más rentable, es decir, cuyos costes son mas bajos.

Pues bien, si tenemos en cuenta la vigente normativa de protección de datos (fundamentalmente la L.O. 15/1999, de 13 de diciembre –en adelante, LOPD-; y el R.D. 1720/2007, de 21 de diciembre –en adelante, RLOPD-) la contratación de un proveedor de servicios de “cloud computing” conforma un supuesto de tratamiento de datos por cuenta de terceros, de manera que el prestador del servicio en la “nube” adquirirá el carácter de encargado del tratamiento siempre que no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar los datos, sin utilizarlos en modo alguno en su provecho.

Al prestador del servicio de “cloud” le serán aplicables todas las obligaciones recogidas en los artículos 12 de la LOPD y 20 y siguientes del RLOPD, entre otras, la obligatoriedad de suscribir un contrato por escrito que incorpore las cláusulas que determinan los artículos meritados. Por otro lado, si dicho servicio de “cloud” es contratado por el propio encargado del tratamiento, será de aplicación lo previsto en el artículo 21 del RLOPD, respecto a la posibilidad de subcontratar los servicios.

La segunda cuestión de interés que es necesario tratar está relacionada con la circunstancia de que como consecuencia del uso de servicios en la “nube” se puede llegar a producir, lo que se denomina por la normativa, una “transferencia internacional de datos” (en adelante, TID).

Una TID se produce cuando se realiza un tratamiento de datos que implica transmitirlos fuera del Espacio Económico Europeo ─es decir, fuera de los 27 países integrantes de la Unión Europea, Islandia, Liechtenstein y Noruega─, que constituya una cesión de datos, o tenga por objeto tratamientos de datos realizados por entidades encargadas del mismo, por cuenta del responsable del fichero establecido en España. Si se da una TID es de aplicación lo previsto en los artículos 33 y 34 de la LOPD; y 65 a 70 del RLOPD.

Las TID efectuadas desde España requieren, como regla general, la previa autorización del Director de la Agencia Española de Protección de Datos (en adelante, AEPD). No obstante, los artículos 34 de la LOPD y 67.1 del RLOPD excluyen tal requisito para determinados supuestos, como por ejemplo, cuando la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado respecto del cual la Comisión Europea, en el ejercicio de sus competencias, haya declarado que garantiza un nivel adecuado de protección, equiparable al establecido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (hasta el momento, Suiza, Argentina, Guernsey, la Isla de Man, Jersey, Islas Feroe, Israel, Principado de Andorra, y por último, Uruguay). Igualmente se consideran como Estados de nivel adecuado de protección, y por tanto no requiere de la autorización del Director de la AEPD, las TID a Canadá y las entidades de EE.UU. adheridas a los principios de Puerto Seguro (Safe Harbor).

En el procedimiento enfocado a obtener la previa autorización del Director de la AEPD, ─fuera de los supuestos previstos en el artículo 34 de la LOPD─, se verificará, por parte de la AEPD, que se dan las garantías adecuadas de protección de los datos objeto de la futura transferencia internacional. El carácter adecuado del nivel de protección que ofrece el país de destino se evalúa por la AEPD atendiendo a todas las circunstancias que concurran en la TID, tomando especial consideración a la naturaleza de los datos y a la finalidad y duración del tratamiento; el país de origen y el país de destino final; las normas generales, o sectoriales, vigentes en el país tercero; el contenido de los informes de la Comisión Europea; y las normas profesionales y las medidas de seguridad en vigor en dichos países. Las Resoluciones del Director de la AEPD, por las que se acuerde que un determinado país proporciona un nivel adecuado de protección de datos son publicadas en el BOE, siendo accesible, además, a través de la web de la Agencia, una relación actualizada de países cuyo nivel de protección ha sido considerado adecuado.

En los casos en los que se pretenda realizar una TID con destino a un Estado que se considera que no proporciona un nivel adecuado de protección, según el artículo 70 del RLOPD, será necesario recabar la autorización del Director de la AEPD, el cual la concederá siempre y cuando exista un contrato escrito celebrado entre el exportador y el importador que garantice al afectado tanto los derechos y libertades fundamentales, como el ejercicio de sus derechos. Se considera que este contrato resulta adecuado si está adaptado a las cláusulas contractuales tipo que, para las TID, establecen las Decisiones de la Comisión Europea que dan cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE. En este sentido, es imprescindible apuntar que la realización de un tratamiento de datos por cuenta del responsable del fichero responsable del servicio de cloud, que implique una TID, debe respetar el contenido de lo que se conoce como “Cláusulas Contractuales Tipo”, que se incluyen en el Anexo de la Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE”.

En definitiva, la contratación de un proveedor de servicios de “Cloud Computing” constituye un supuesto de tratamiento de los datos por cuenta de terceros y corresponde al responsable cumplir aquellos aspectos de la normativa de protección de datos que le sean exigibles conforme a la legislación española y, en particular, la relativa a la formalización de un contrato por escrito; y el cumplimiento, en su caso, de las reglas que rigen las TID.

Finalmente, deben tenerse muy en cuenta las graves consecuencias que puede suponer incumplir la referida normativa, ya que transferir datos personales, bien de modo temporal o definitivo, que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la AEPD, constituye una infracción muy grave, de acuerdo con lo dispuesto en el artículo 44.4.d) de la LOPD, que conlleva exponerse a sanciones que van de los 300.001 a los 600.000 €.

Señalar, por último, que estamos con Ramón Miralles, en su artículo Cloud computing y protección de datos”, (Revista de Internet, Derecho y Política Nº11. Octubre de 2010. UOC) cuando apunta que los aspectos más relevantes con el cumplimiento legal que deben ser considerados al tratar los servicios de “cloud computing” y protección de datos, son, en primer lugar, la perdida de control sobre el tratamiento de la información, tanto por parte de los afectados, como de los responsables del tratamiento; las dificultades de encajar jurídicamente a los encargados del tratamiento en las prestaciones de servicios de “cloud”; los problemas normativos que ocasionan las transferencias internacionales de datos y, finalmente, la resolución de incidentes sobre protección de datos en situaciones de multiterritorialidad.

Dada la importancia de esta figura, y sus implicaciones en materia de protección de datos, la AEPD ha abierto una consulta pública para conocer la opinión y experiencia de prestadores de servicios, usuarios y expertos. Puede accederse aquí a la nota de prensa.

1 Comentario | Leído 32 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

Una respuesta a “El “Cloud computing” y la protección de datos.Javier Álvarez

  1. Luis dice:

    A mí me ha parecido muy interesante la consulta abierta que ha hecho la AGPD sobre el cloud computing. Lástima que no hiciera lo mismo con las redes sociales…
    Me gusta que solicite “nuestras soluciones” al cloud computing para crear un espacio de conocimiento por parte de gente especializada, empresas dedicadas a este servicio y usuarios particulares del cloud y que, posteriormente, se puedan tener en cuenta para modificar la Ley o para cear una Instrucción al estilo de la videovigilancia de 2006.
    Son nuevos tiempos, y esta fórmula de consulta basada (por qué no?) en el social media también, es estupenda. Esperemos resultados.
    Un saludo.
    http://www.gesprodat.com

Enviar Comentario

*