Guía para proveedores de cloud computing

839

Guias ORIENTACIONES_CloudLa Agencia Española de Protección de Datos (AEPD) ha editado esta guía de orientaciones para prestadores de servicios de cloud computing (descarga PDF gratis al final de este artículo). El documento es complementario del ya comentado aquí dirigido a proporcionar orientaciones a clientes que contraten servicios en la nube, y de forma conjunta presentan una visión global de las obligaciones legales en materia de privacidad para todas las partes implicadas.

La tesis que con mayor reiteración defiende la AEPD a lo largo de la guía (especialmente a las grandes corporaciones que ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesión cerrados y no negociables a sus potenciales clientes), es que en el caso de que los clientes/responsables del tratamiento de los datos personales estén sujetos a la ley española, entonces la relación jurídica con el prestador de servicios estará sometida a la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y sus normas de desarrollo, sin que ésta pueda ser una cuestión de libre disposición para las partes, es decir, sin que pueda ser contractualmente modificada. Puedes consultar más información sobre el cloud computing en despachos de abogados.

Asimismo se señala que el proveedor de servicios de cloud computing que implican el acceso a datos personales será un prestador de servicios, es decir, un encargado del tratamiento en la terminología LOPD y debe por tanto adaptarse al régimen de garantías que la normativa de protección de datos personales atribuye a los ciudadanos.

Diligencia y transparencia en la contratación

El cliente que contrata a un prestador de servicios de cloud computing tiene una obligación legal de diligencia para ‘velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto’ en la normativa de protección de datos personales (art. 20.2 del Reglamento de desarrollo de la LOPD –RLOPD–).

El cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del prestador de servicios de cloud computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente.

Garantías que deben incorporarse al contrato

  • El proveedor del servicio debe informar al cliente de los servicios y empresa/s a subcontratar (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
  • El cliente debe poder tomar decisiones como consecuencia de la intervención de subcontratistas.
  • El proveedor debe firmar con los subcontratistas un contrato con garantías equivalentes a las incluidas en el contrato con el cliente.

Las transferencias internacionales de datos

Cuando la prestación de servicios de cloud computing implique transferencias internacionales de datos deben realizarse con garantías adecuadas. Dichas cesiones no tendrán esta calificación cuando se lleven a cabo en la Unión Europea o dentro del Acuerdo sobre el Espacio Económico Europeo.

Ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO)

El cliente de servicios de cloud computing continúa siendo responsable del tratamiento de los datos personales, y está por ello obligado a facilitar el ejercicio de los derechos ARCO a los interesados. Puesto que en ocasiones necesitará la colaboración del prestador de servicios de cloud computing, éste debe prever la necesidad de proporcionar información al respecto y, cuando se solicite, hacerla efectiva de forma diligente.

Descarga PDF:

Guía de orientaciones para prestadores de servicios de cloud computing

 

Guía para proveedores de cloud computing
Vota este artículo
Compartir

1 Comentario

Dejar respuesta