jueves, 8 de enero de 2015

Servicios CLOUD y la protección de Datos Personales

¿CÓMO AFECTA LA GESTIÓN DE LOS DATOS DE CARÁCTER PERSONAL A LA CONTRATACIÓN DE SERVICIOS CLOUD?


Es una cuestión realmente importante, porque aunque el uso del Cloud Computing ofrece un gran número de ventajas (escalabilidad, pago por uso, etc), entre ellas no está el eximirnos del cumplimiento de la normativa española para la protección de datos personales, exigiendo tener en cuenta diversas cuestiones de cierta relevancia.

Pero no hay que desesperar. La AEPD (Agencia Española de Protección de Datos), dispone de una estupenda guía de ayuda en este tema. Su título, más que ilustrativo, “Guía para clientes que contraten servicios de Cloud Computing”.

Abordemos un repaso de lo que debemos conocer al respecto, centrándonos en la empresa privada y los profesionales. Las Administraciones Públicas presentan singularidades y riesgos específicos, con cuestiones adicionales.

Que debemos decidir antes de contratar servicios “Cloud

Pues para que tipologías de datos personales contrataremos servicios Cloud y cuales preferimos mantener en nuestros propios sistemas. Para ello deberemos tener en cuenta su naturaleza y nivel de seguridad, así como las distintas modalidades de servicio Cloud a nuestra disposición.

Esto es relevante, ya que esta decisión delimitará para qué finalidades puede tratar los datos el proveedor, debiendo garantizarse expresamente que no lo serán para algo que no tenga relación con los servicios contratados.

El papel del cliente y el proveedor de servicios cloud desde la perspectiva de la normativa de protección de datos.

La empresa que contrata servicios Cloud a un proveedor, sigue siendo responsable del tratamiento de sus datos personales. En ningún caso la responsabilidad puede traspasarse a quién presta el servicio, ni siquiera incorporando una clausula en el contrato que firmemos con él.

El proveedor del servicio Cloud, mantiene la calificación de “Encargado del tratamiento” que recoge la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). No pasa a ser en ningún caso calificado como el “Responsable”.

Legislación aplicable

Aunque el modelo Cloud hace posible que los datos se almacenen fuera de nuestras fronteras, la normativa directamente aplicable para cliente y proveedor sigue siendo la anteriormente indicada LOPD. Importante, su aplicación no puede intentar matizarse o ajustarse, mediante cláusulas contractuales.

Obligaciones como cliente

Como principal referencia, saber si en la prestación del servicio Cloud intervienen terceras empresas subcontratadas. Y en ese caso, que es bastante habitual:
- Debemos poder conocerlas.
- El proveedor principal debe asumir por contrato que los subcontratistas ofrecen las mismas garantías para el tratamiento de los datos que el mismo.
- Dar nuestra conformidad a su participación, debiendo identificarse que servicios pueden subcontratarse.

Ubicación de los datos personales

Esta es una cuestión de la mayor trascencencia. Las garantías exigibles para su protección son distintas según los países en que se encuentren.

Si éstos forman parte del “Espacio Económico Europeo”, que está formado por los 28 miembros de la Unión Europea junto con Islandia, Liechtenstein y Noruega, el tema se simplifica, ya que se considera, directamente, que ofrecen garantías suficientes.

Pero si éste no es el caso, se daría lo que se considera una “Transferencia Internacional de Datos” y deben proporcionarse otras garantías jurídicas, en línea con lo indicado a continuación.

Garantías en el caso de la Transferencia Internacional de Datos

Que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y que así sea reconocido por la AEPD o por la Comisión Europea. Para acceder a la lista de estos países, haz clic aquí.

En el caso particular de EEUU, las proporcionadas por las empresas allí ubicadas que hayan suscrito los principios de Puerto Seguro. Para conocer más detalles sobre Puerto Seguro, haz clic aquí.

En los dos casos anteriores, será suficiente con hacer constar la transferencia en la notificación del fichero a la AEPD.

En cualquier otro, la Transferencia Internacional de Datos, necesitará la autorización de su Director.

Medidas de seguridad exigibles

Están estructuradas en 3 niveles, Básico, Medio y Alto, dependiendo de la naturaleza de los datos personales a proteger.

En el nivel Básico, están con carácter genérico todos los ficheros que contengan datos de carácter personal.

Para el nivel Medio hay distintos tipos de ficheros, entre los que destacaremos los que contengan datos referidos a la comisión de infracciones administrativas o penales,  los relacionados con servicios financieros, solvencia patrimonial y crédito o los que contengan datos que permitan evaluar aspectos de la personalidad y el comportamiento de las personas.

En el nivel Alto, tenemos los referidos a los datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de los afectados, o los relativos a actos de violencia de género.

Por último destacar, que el acceso a la información a través de redes de comunicaciones, debe garantizar una seguridad equivalente a la del acceso local.

Como asegurarnos de que se cumplen las medidas de seguridad

Como cliente debemos tener la opción de comprobar las medidas de seguridad aplicadas, incluyendo los registros con los datos de acceso, debiendo el proveedor acreditar que dispone de la certificación de seguridad adecuada.

Podemos acordar que un tercero independiente audite la seguridad aplicada.

Deberemos ser informados “diligentemente” sobre las incidencias de seguridad que afecten a nuestros datos, así como de las medidas adoptadas para resolverlas y las que podríamos tomar nosotros mismos para evitar daños que puedan producirse.

El cifrado de datos personales es una medida positiva. Deberíamos solicitar información a nuestro proveedor de Cloud sobre ello.

Compromisos de confidencialidad a exigir

Dos muy claros. El proveedor debe comprometerse por una parte, a utilizar los datos únicamente para los servicios contratados y por otra, a dar instrucciones al personal que depende de él para que mantenga su confidencialidad.

Garantizar la “Portabilidad” de los datos personales

La portabilidad significa que el proveedor deberá, en caso de resolución del contrato o terminación del servicio, entregar toda la información que obra en su poder, para poder volver a almacenarla en nuestros propios sistemas o para optar a que se traslade a un nuevo proveedor, por supuesto garantizando su integridad, en un formato utilizable y sin costes adicionales.

También deberemos tener la opción de exigirla en otros casos, como en el de no estar conformes con los servicios de algún subcontratista o la modificación unilateral de la prestación del servicio por parte del proveedor.

Asegurar que el proveedor de Cloud no conserva los datos personales si se extingue el contrato

¿Cómo?. Previendo mecanismos que garanticen el borrado seguro de nuestros datos cuando así lo solicitemos, siendo aconsejable requerir una certificación de su destrucción.


Garantizar el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)

Como responsable del tratamiento de sus datos, nuestra empresa debe permitir el ejercicio de los derechos ARCO, a las personas afectadas y para ello el proveedor de Cloud debe garantizar su cooperación y las herramientas adecuadas para facilitarlo.

Y hasta aquí lo cubierto por la Guía de la AEPD citada. Si quieres profundizar algo más y acceder al texto íntegro, ya sabes, aquí tienes el enlace para su descarga.




No hay comentarios:

Publicar un comentario