“Nube” o Cloud Computing. Seamos diligentes…

/2 Comentarios/en /por

cloudParece que los servicios de Cloud Computing se van imponiendo en nuestra sociedad, que ya nadie puede vivir sin sus ventajas, que es el futuro en el presente, que gracias al desarrollo de las telecomunicaciones, a la mayor velocidad en la transmisión de información, a la posibilidad de aplicar costes reducidos en nuestro negocio, pero sobre todo que los servicios de Cloud Computing los puedo utilizar desde donde, cómo y cuando lo necesite, ya que está disponible «en la nube de Internet» sin conocimientos (o al menos sin ser expertos) y pagando únicamente por el consumo efectuado o pactado.

En definitiva un servicio económico, flexible, 100% disponible y 100% seguro; ¿SEGURO?…

Hagamos una primera aproximación al Cloud Computing, pues creo que nos conviene conocer las implicaciones que desde el punto de vista LOPD suponen estos servicios. 

A lo largo del último año ha acaparado jornadas, talleres y conferencias, como la Sesión Anual de la Agencia Española de Protección de Datos que le dedicó parte de su tiempo, la reciente organizada por la Asociación Profesional Española de Privacidad, a la que como Asociado de APEP asistí y que contó con la participación especial de la AEPD o en la recientemente celebrada por la Agencia de Protección de Datos de la Comunidad de Madrid, en la que se abordó cuestiones muy cercanas como las Transferencias internacionales de datos y ámbito territorial de aplicación.

Primero vamos a “definir” el servicio de Cloud Computing o computación en la nube, como el suministro de servicios facilitados por un tercero (prestador del servicio), para el alojamiento de información de datos, aplicaciones, infraestructura y demás recursos para poder acceder, tratar y operar con la información y datos almacenados.

Los servicios de Cloud Computing, vienen suscitando discusiones sobre tres cuestiones, entre otras, que afectan al servicio frente a la Ley de Protección de Datos:

  1. La poca claridad respecto al lugar de almacenamiento de los datos en servicios de hosting.
  2. Las dudas en las garantías de seguridad de los mismos (cifrado, disociación y fragmentación)
  3. La subcontratación de los servicios (identificar y autorizar).

Para la LOPD, es determinante establecer en qué ubicación física concreta (no digamos ya si la ubicación cambia) se van a alojar los datos personales alojados en “la nube”, pues dependiendo de se encuentren en España o en otro país, habrá que establecer si la cesión de los mismos constituye una “transferencia internacional de datos” (TID) o no, y por tanto de sus consecuencias legales. Caramba¡¡¡¡¡ y eso como lo voy a saber?.

Tranquilos, la TID jurídicamente es de las situaciones más complejas de regular, ello suscita que el Cloud sea considerado en materia LOPD un modelo a regular de manera especialmente cuidadosa, sobre todo si como se vislumbra será la forma predominante que adoptarán las empresas para organizar sus sistemas de información almacenados directamente en los servidores del prestador del servicio.

Esperaremos a que las Autoridades Europeas de Protección de Datos (G. Trabajo del Artículo 29) se pronucie o a que caigan las primeras sanciones de la AEPD y con ello se nos irán disipando las dudas (aunque parece que por la AEPD existe voluntad en buscar soluciones que garanticen los derechos, con medidas alternativas y equivalentes a las que exige la Ley).

Recordemos que este servicio supone que dicho prestador se convierta en Encargado del Tratamiento del cliente, debiendo suscribirse el contrato conforme el artículo 12 de la LOPD. Contrato recogerá que el Encargado deberá adoptar las medidas de seguridad que exige la normativa con motivo del procesamiento de los datos responsabilidad del cliente (medidas establecidas en el artículo 82 Reglamento de Desarrollo de la LOPD). Caramba¡¡¡¡¡ y eso me lo firmarán a mí, a medida?.

Si esto les parece poco, señores, recuerden que la normativa establece que hemos de ser “diligentes” a la hora de elegir nuestro proveedor de servicios y por tanto es nuestra responsabilidad elegir al prestador adecuado, si bien será difícil demostrar/argumentar dicha diligencia, es decir, aunque exista incumplimiento de contrato, tendré que demostrar que he sido diligente al elegir al prestador. Caramba¡¡¡¡¡ y eso como lo sé o demuestro.

Por no hablar del consejo de incluir en el contrato la posibilidad de solicitar la realización de auditorías al Encargado (cuestión muy debatida sobre su posibilidad de aplicación “real”) o sobre el lugar de almacenamiento físico de los datos y su presunta opacidad, siendo importantísimo que, de manera previa al inicio del servicio de Cloud Computing el proveedor ponga en conocimiento del cliente la ubicación física del mismo (que puede no ser única), o sobre que a menos que el Responsable lo autorice, el Encargado del Tratamiento no podrá comunicar los datos a un tercero ni subcontratar los servicios…

En definitiva, para qué me pregunto esto, si todo el mundo está en la nube y la usa, SI ES EL FUTURO¡¡¡¡¡…

A medida que haya pronunciamientos por parte del Grupo de Autoridades Europeas de Protección de Datos o vea la luz el futuro Reglamento de la UE, iremos saliendo de dudas y valorando los mismos. Mientras recuerden ser “diligentes”.

Quizás te interese
Feliz Navidad y feliz Privacidad 2016Feliz Navidad y Feliz Privacidad 2016
El envío de comunicaciones comerciales sin consentimiento (SPAM) sancionado 1.500€ y 12.000€ a 2 empresas por misma infracción LSSI
Formación, LOPD y LOPDCOSTECERO; Quien nada hace, nada teme
¿Cómo devolver una compra realizada en internet; el derecho de desistimiento?
NEWS 26/Febrero/2013. El Derecho al olvido a debate en el TJUE
Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014LSSICE y LOPD: Que debo saber si tengo una página web
Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD MadridSi un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD
El TJUE y el Derecho al olvido. «Olvídense del olvido»
2 comentarios
  1. Juan Parias
    Juan Parias Dice:

    Nosotros llevabamos tiempo buscando un servidor en la nube que cumpliera con la LOPD ya que las opciones más conocidas no lo hacen.
    Por fin encontramos la solución con muchas funcionalidades añadidas relacionadas : Dataprius . Es una empresa española en la que grandes empresas ya confían y nosotros nos hemos unido.

    Responder
    • Eurovima Consulting S.L.
      Eurovima Consulting S.L. Dice:

      Gracias Juan. Efectivamente muchos no lo cumplen, pero afortunadamente cada vez más empresas, profesionales, organizaciones y en general «Entidades» que tratan datos de carácter personal son conscientes de la necesidad de que sus proveedores y sus servicios se ajusten al cumplimiento normativo.
      Me alegro de que os vaya bien con esta empresa, que además es Española.
      Un abrazo,

      Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ACEPTO recibir comunicaciones comerciales de EUROVIMA

He leído y acepto la Política de privacidad

Los datos de carácter personal que nos proporciones serán tratados por EUROVIMA CONSULTING, S.L. (EUROVIMA) como Podrás ejercer tu derecho a revocar el consentimiento, solicitar el acceso, rectificación o supresión, la limitación de su tratamiento u oponerse (si hay interés público o interés legítimo) y/o el derecho de portabilidad. En todos los casos podrá ejercer sus derechos por correo electrónico dirigido a rgpd @eurovima.es indicando la referencia “Protección de Datos”. En la solicitud debe constar: Nombre, apellidos y fotocopia de tu DNI, petición en la que se concreta tu solicitud y domicilio a efectos de notificaciones. Cualquier persona puede presentar una reclamación ante la Agencia Española de Protección de Datos a través de la web www.agpd.es en caso de considerar que sus derechos no han sido satisfechos.