Antes de migrar a la nube, se debe evaluar la tipología de datos que trata atendiendo a su mayor o menor sensibilidad e informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios disponibles para tener una decisión mucho más acertada en la elección.
Con esta información se debe decidir para qué recursos se contratará servicios de Cloud Computing y cuáles se prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor de servicios en la nube puede tratar los datos. En consecuencia, debe garantizarse expresamente que no se utilizarán los datos para otra finalidad que no tenga relación con los servicios contratados.
Desde la perspectiva de la normativa de protección de datos, ¿cuál es el papel del cliente de un servicio en la nube?
El cliente que contrata servicios de Cloud Computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad.
El proveedor que ofrece la contratación de Cloud Computing es un prestador de servicios que en la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.
¿Cuál es la legislación aplicable?
El modelo de Cloud Computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso:
- El cliente que contrata servicios de Cloud Computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación sobre protección de datos vigente en cada país.
- Aunque le informen de que los datos personales están disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio
¿Cuáles son las obligaciones del cliente?
Se debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación del servicio en la nube. Lo habitual es que intervengan terceras empresas. De ser así:
- Se tiene que dar la conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (por ejemplo en el alojamiento de datos).
- Para ello, el prestador del servicio en la nube tiene que informarle sobre la tipología de servicios que pueden subcontratar con terceros.
- El proveedor de Cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
- El contrato que firma ha de incorporar cláusulas contractuales para la protección de los datos personales.
¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?
La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
¿Qué garantías se consideran adecuadas para las transferencias internacionales de datos?
Se considera una garantía que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo.
Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro. Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero al ente de Protección de Datos que corresponda.
En otros casos, la transferencia internacional de datos necesitará autorización del organismo responsable de Protección de Datos, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas.
Cuando los datos están localizados en terceros países podría suceder que una autoridad competente pueda solicitar y obtener información sobre los datos personales de los que el cliente es responsable. En este caso el cliente debería ser informado por el proveedor de esta circunstancia (salvo que lo prohíba la ley del país tercero).
¿Qué medidas de seguridad son exigibles?
Las medidas de seguridad son indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.
¿Cómo se puede garantizar que se cumplen las medidas de seguridad?
Se debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable. Además, el proveedor del servicio en la nube debe acreditar que dispone de una certificación de seguridad adecuada.
Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.
El cliente debe ser informado diligentemente por el proveedor del servicio en la nube sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (por ejemplo, informar a sus propios clientes sobre cómo proteger su información personal).
El cifrado de los datos personales es una medida que debe valorarse positivamente.
¿Qué compromisos de confidencialidad de los datos personales debe exigir?
El proveedor del servicio en la nube debe de comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.
¿Cómo garantizar que se pueden recuperar los datos personales de los que se es responsable?
La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
En particular, el cliente debe tener la opción de exigir la portabilidad de la información a sus propios sistemas de información o a un nuevo prestador de Cloud cuando considere inadecuada la intervención de algún subcontratista o la transferencia de datos a países que estime no aportan garantías adecuadas. También es particularmente importante en los casos en que el proveedor de Cloud modifique unilateralmente las condiciones de prestación del servicio dado su poder de negociación frente al cliente.
¿Cómo se puede asegurar que el proveedor del servicio no conserva los datos personales si se extingue el contrato?
Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor o por un tercero.
¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición?
El cliente de Cloud Computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los usuarios. Para ello, el proveedor debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos.
Fuente: Universidad Politécnica De Cartagena, Retos y Oportunidades del Cloud Computing. Estudio de implementación de un Sistema de Información Geográfica en la nube, José Abril Abril.
Adaptado por la división consultoría de EvaluandoCloud.com