Esta nueva forma de utilizar las tecnologías de la información y las comunicaciones requiere de una mayor amplitud de conocimientos sobre el tema, sobre todo cuando estás pendiente de adquirir este tipo de servicios, por eso, hemos diseñado esta una guía para empresas que se encuentran próximas a contratar servicios de cloud computing y por tanto, realizar un gran desembolso en un servicio de tratamiento de la información
¿Qué debo analizar y tener en cuenta antes de contratar servicios de cloud computing?
Se debe evaluar la tipología de datos que trata en función del nivel de seguridad exigido por el RGPD y decidir para qué datos personales contratará servicios en la nube y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor puede tratar los datos, ya que debe garantizarse expresamente que no los utilizará para otra finalidad que no tenga relación con los servicios contratados.
Responsabilidad de las partes contratantes
El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio.
Por el otro lado, quien que ofrece la contratación de cloud computing es un prestador de servicios que en la LOPD se denomina encargado del tratamiento.
Legislación aplicable
Independientemente de la ubicación del proveedor y de los servidores donde almacene los datos, la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (LOPDGDD). También es aplicable el RGPD.
Este hecho no puede modificarse contractualmente ni se ve afectado por la disociación de la información.
Obligaciones como cliente
Se debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios. En caso afirmativo tiene que dar su conformidad a la participación de terceras empresas, tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web) y el proveedor debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
Además el contrato a firmar debe incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes puntos.
Ubicación de los datos personales
La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
Garantías adecuadas para las transferencias internacionales de datos
Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la AEPD o por Decisión de la Comisión Europea (lista de países con nivel adecuado de protección). En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la AEPD para su inscripción en el Registro General de Protección de Datos.
También se consideran garantías adecuadas las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (lista de entidades adheridas). Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la AEPD.
En otro caso, la transferencia internacional de datos necesitará autorización del Director de la AEPD, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas (si quiere conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas garantías haga clic aquí).
Medidas de seguridad exigibles
El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.
Garantías sobre medidas de seguridad
Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.
Asimismo debe ser informado diligentemente sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse.
Compromisos de confidencialidad
El proveedor del servicio debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.
Garantía de recuperación de los datos personales (portabilidad)
La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
El proveedor debe destruir los datos personales si se extingue el contrato
Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor o por un tercero).
Garantizar el ejercicio de los derechos ARCO
El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos, y para ello, el proveedor debe garantizar su cooperación y las herramientas adecuadas.
Completa la información con el PDF de la AEPD
Problemas éticos que se plantean antes de contratar
La computación en la nube, por su naturaleza, implica riesgos únicos. Estos incluyen riesgos de seguridad, éticos y de privacidad y la posibilidad de perder temporal o permanentemente el acceso a sus datos.
La mejor manera de asegurarte de que comprendes estos riesgos es hacer las preguntas correctas. Asegúrate de que las respuestas de tu proveedor de cloud computing sean satisfactorias. Negocia un acuerdo que proteja tanto tus intereses como los datos de tus clientes.
Parte de tu obligación ética como abogado es evaluar cuidadosamente estos riesgos. Los pasos que deberás seguir para cumplir con este estándar variarán según las reglas éticas aplicables en tu jurisdicción y las formas en que buscas utilizar la computación en la nube en tu práctica legal.
Las preguntas que debes hacerte antes de contratar un proveedor de servicios de cloud computing se centran en determinar qué tan accesibles y seguros serán los datos:
- ¿Tendré acceso ilimitado a los datos almacenados?
- ¿He almacenado los datos en otro lugar para que si se deniega el acceso a mis datos pueda adquirirlos a través de otra fuente?
- ¿He realizado una «diligencia debida» con respecto a la empresa que almacenará mis datos?
- ¿Son una compañía sólida con un buen historial operativo y otros servicios en el campo recomiendan su servicio?
- ¿En qué país y estado se encuentran y hacen negocios?
- ¿Cuál es el costo del servicio, cómo se paga y qué sucede en caso de falta de pago?
- En caso de incumplimiento financiero, ¿perderé acceso a los datos, se convierte en propiedad de la empresa SaaS o se destruyen los datos?
- ¿Cómo termino la relación con la empresa SaaS?
- ¿Cómo recupero mis datos y la empresa SaaS retiene copias?
- ¿Se requieren contraseñas para acceder al programa que contiene mis datos?
- ¿Quién tiene acceso a las contraseñas?
- ¿El público tendrá acceso a mis datos?
- Si permito el acceso de los no clientes a una parte de los datos, ¿tendrán acceso a otros datos que deseo proteger?
- Reconociendo que algunos datos requerirán un mayor grado de protección que otros, ¿tendré la capacidad de cifrar ciertos datos utilizando las herramientas de cifrado de nivel superior que yo elija?
Escribe aquí tu comentario