Por Jose J. Ivars, Director Área Derecho y Tecnologías de la Información en Mompó Abogados
Antes de entrar en el análisis de cómo afecta la legislación en materia de protección de datos al cloud computing, es necesario que entendamos este concepto, que cada vez se encuentra más arraigado y es utilizado no solo por particulares, sino por empresas y organizaciones. Hay que tener en cuenta que la unión que puede producirse entre este servicio y su actividad empresarial, provoca fórmulas que desembocan en una mayor productividad, optimización de los recursos, un desarrollo empresarial y nuevas líneas de negocio, sin que suponga para las empresas la realización de fuertes inversiones.
Cloud computing o computación en la nube es una solución tecnológica que permite ofrecer servicios a través de internet tales como la utilización de software, almacenamiento y sincronización de archivos, bases de datos, correo electrónico, gestión remota de información, de forma que estén accesibles a los usuarios de manera virtual, en cualquier momento, en cualquier lugar y desde cualquier dispositivo.
El 61% de las empresas españolas tienen en marcha proyectos en la nube (75% si hablamos de Pymes). Entre sus planes para la utilización de esta solución encontramos diversos ámbitos, como pueden ser el de colaboración (57%), Email (49%), CRM (37%), Gestión de RRHH (35%), Gestión de Contenidos web (29%) y ofimática (29%) entre otros, según fuentes publicadas en el Diario Expansión.
Una vez explicado muy sucintamente en que consiste la nube, debemos de plantearnos una serie de consideraciones legales antes de proceder a la contratación de una solución de Cloud Computing.
¿Qué legislación nos afecta? La legislación en materia de protección de datos, más concretamente la Ley 15/1999 sobre Protección de Datos de Carácter Personal de 13 de Diciembre (LOPD) y el Real Decreto 1720/2007 que la desarrolla.
Dentro de este entorno aparecen la figura del interesado en contratar los servicios de cloud Computing y los prestadores del servicio de esta solución. Los contratantes dentro del marco de la LOPD actúan, como responsables del fichero de toda la información que vuelquen en la nube. Por otro lado el prestador del servicio, adopta la figura de encargado de tratamiento.
¿Y qué significa esto? Que como contratantes debemos cumplir con los requisitos legales de la Ley y su Reglamento y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. El Art. 3.d) de la LOPD define al responsable del fichero como la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. El Art. 3.g) define al encargado de tratamiento como la persona física o jurídica, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Definidas las figuras y decidido la contratación de esta solución, debemos asegurarnos que en las condiciones del contrato contenga lo estipulado el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a datos por parte de terceros. El Art. 12 define el acceso a datos por parte de terceros como ”… la realización de tratamientos por cuenta de terceros a los datos deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”
Este contrato deberá hacer mención expresa, como mínimo, a los siguientes aspectos: Una descripción detallada de las prestaciones a realizar y finalidad; Si el servicio va a tener o no, carácter remunerado; si la prestación va a ser temporal o indefinida; Que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero; que el Encargado del tratamiento no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o utilizará, ni siquiera para su conservación, a otras personas, salvo previa indicación expresa del responsable del fichero; posibilidad de subcontratación de los servicios, contando con autorización del responsable del fichero; las medidas de seguridad que el encargado del tratamiento está obligado a implementar, atendiendo al contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la obligación de guardar secreto respecto de los datos objeto de tratamiento y una vez finalizada la prestación de servicio los datos de carácter personal deberán ser devueltos al responsable del tratamiento.
Además de este requisito legal, debemos exigir unas medidas de seguridad que están establecidas legal y reglamentariamente, más aun cuando por la tipología de la información se traten de datos sensibles y asegurarnos que nos garanticen la confidencialidad, integridad y disponibilidad de los datos e información que subimos a la nube, punto que es considerado como máxima en la implantación de Sistemas de Gestión de la Seguridad de la Información.
Entre alguna de estas medidas como se explica en la Guía para clientes que contraten servicios de Cloud Computing que elaboró la Agencia Española de Protección de Datos se encuentran las siguientes,
- Medidas de seguridad indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
- Nivel de seguridad exigible dependiendo de la sensibilidad de los datos personal.
- Acceso a la información a través de redes de comunicaciones debe completar un nivel de medidas de seguridad equivalente al del acceso en modo local.
Otro punto a tener muy en cuenta es la posibilidad de que al contratar estos servicios, la prestataria que nos ofrece la solución Cloud Computing este ubicada en otro país, y por tanto nos encontremos con una transferencia internacional de datos, ante este hecho debemos analizar las siguientes particularidades,
- Si el proveedor de servicios se encuentra en el Espacio Económico Europeo, en este caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
- En caso de los que se encuentren ubicados en Estados Unidos y que se hayan suscrito a los principios establecidos en el denominado Safe harbor (garantías adecuadas para las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor. Se considerará que tienen las garantías adecuadas de seguridad.
- Por último, de tratarse de países con características distintas de las descritas en los dos puntos anteriores, deberemos contar con una autorización previa del Director de la Agencia Española de Protección de Datos, que será otorgada en caso de que el exportador de datos cumpla con los requisitos de garantías adecuadas.
Actualmente estos son los países con un nivel adecuado de protección.
- Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos. Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003. Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003. Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004. Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008. Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010. Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010. Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011. Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012. Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD.
Son muchos los beneficios que obtenemos de la utilización de la nube tanto a nivel empresarial como personal, pero antes de hacer uso de estos servicios en los que volcamos todo tipo de información, debemos asegurarnos que la empresa que los vaya a albergar cumpla con todos los requisitos legales y de seguridad para garantizarnos su total protección ya que no hay activo más importante que nuestra información.
Excelente artículo, yo recomiendo Dataprius (http://www.dataprius.com) Una empresa española y por tanto localizada en la Unión Europea que realiza su almacenamiento en Nirvanix (proveedor Safe harbor) que cumple los estádares más altos de seguridad.
Excelente artículo sobre algo que siempre le he dado vueltas y es que yo he trabajado en una compañía de Could Computing, en un puesto de relevancia y acabé marchándome, ya que me provocaba una inseguridad tremenda que muchos de nuestros clientes, y los de otra empresa, socia hasta hacía meses se veían las cuentas del banco, las herramientas on line que tenían contratadas con anterioridad y el correo electrónico. Vi cometer tantas faltas o delitos no lo se a la Ley de protección de datos y a la ética, que me mareaba y sufría ansiedad e insomnio, hasta que me fui, pues no merecía la pena aquel suplicio. El servidor estaba en otro país y como seguridad, tenían una Póliza de Seguro de responsabilidad civil, ese era su cortafuegos, pero mi preocupación era que teníamos como clientes a despachos muy importantes de las principales ciudades españolas, Marbella y Gibraltar, y los pleitos que llevaba esa gente erran millonarios, el seguro, podría cubrir un error, pero una cadena de demandas nos arrasaría. Aun hoy, no puedo entender que un despacho de abogados, serio, con buena información, programas de Aranzadi Westlaw, La Ley, Mementos, buena biblioteca, y muchos expedientes, no pueda dedicar un servidor a introducir los procesos mercantiles y de mayor importancia que tengan, pues desde la empresa donde está instalado el software, se ve todo, cada documento, fotografía, vista, calendario, procurador, todo está a la vista del primer desgraciado que entre a trabajar en la empresa. Y lo más sorprendente, es que los abogados los compran, y pagan por ellos un dinero, superior al que vale tener un ordenador dedicado y unas cuantas herramientas de Windows, que aun no saben manejar. Pero que son más seguras que poner en manos de desconocidos, los documentos de los procedimientos de los clientes. Por último, lo que más me sorprendió, es que en España, a pesar de estar vendiendo programas de gestión Reuters Aranzadi o Wölters Kluwert, La Ley, los que más programas venden son las empresas pequeñas que aprovecharon el nicho de mercado que dejaron abierto esas dos empresas, que en principio, si son de fiar, ahí no entra a trabajar cualquiera, y los datos de los expedientes no los ve nadie. Esto lo se por experiencia propia, pues trabajé en esas empresas la mayor parte de mi vida, después de la banca , que fue mi primera actividad, por lo que a pesar de no estar licenciado en derecho, el tema de la Informática Jurídica, se puede decir que es mi especialidad practica. Yo si tuviese un bufete de abogados, cosa que no descarto, pues estoy estudiando de nuevo para conseguirlo, pues la crisis, nos ha desbaratado la vida a muchos, no metería ni un expediente en ninguna empresa que no fuese la mía. Y menos en empresas de informática que son humo, solo tienen un software, que no se sabe ni si es copiado o si la rotación de personal, habitual en estas empresas, haga que la información de tu cliente la pueda ver más gente de la recomendada. Ya tenemos bastantes problemas con la conservación de los secretos de sumario, la cadena de custodia de las penas y los defectos de forma en los procesos, no se compliquen más la vida, se lo dice alguien que lo vivió desde dentro. Un placer, Mario Crespo.
P/D Cadena de custodia de las pruebas, donde dije penas.