Es cada vez más frecuente que las empresas decidan almacenar información online vinculada con sus actividades o se decanten por emplear herramientas informáticas de gestión a través de la Red. Debido a la creciente necesidad de gestionar las actividades de los negocios por medio de Internet, surgió el denominado cloud computing.
La computación en la nube (cloud computing) es un sistema informático en el que la información se encuentra en la Red, almacenada en servidores que, habitualmente, están controlados por una tercera entidad prestadora del servicio. Los usuarios podemos acceder a la información mediante una interfaz o aplicación y tenemos la posibilidad de compartir recursos con el resto de usuarios.
Es habitual que esta serie de datos se encuentre en servidores que permiten el acceso desde diferentes dispositivos y plataformas, siendo la empresa prestadora del servicio la que controla el acceso, el uso o la modificación de la información.
Ante esta situación, son muchos los que se han quejado acerca del uso de estas tecnologías, puesto que conlleva que los datos puedan llegar a manos no deseadas. Por tanto, no es extraño que algunos gobiernos prohíban a los funcionarios usar este tipo de servicios en la nube, en especial, tras los escándalos de espionaje internacional que se han dado.
LOPD en el cloud
La empresa que contrata este tipo de servicios en la nube es responsable de los ficheros que utiliza, por lo que la contratación de un proveedor de servicios en la nube deriva en un presunto tratamiento de datos llevado a cabo por terceros, lo cual está contemplado en la LOPD. De ese modo, el correspondiente prestador de estos servicios de cloud computing adquirirá el papel de encargado del tratamiento; y, en virtud de esta figura, su deber será el cumplimiento de todas las obligaciones que recoge el artículo 12 de la LOPD, así como a partir del 20 del RLOPD.
Esto supone que se habrá de instaurar un contrato de tratamiento de datos entre la empresa cliente y el proveedor del servicio en la nube que incluya las cláusulas que establecen las condiciones de acceso a la información.
Asimismo, en determinados servicios, el intercambio de información puede ser estimado como una transferencia internacional de datos, en el caso de que el intercambio se realice en un país ajeno al espacio económico europeo. Estas transferencias deben estar autorizadas por el director de la agencia deprotección de datos. No obstante, existen algunas excepciones, por ejemplo, si el país de destino es miembro de la Unión Europea (UE) o se trata de un país en el que la Comisión Europea establezca que se cumple con los requisitos en materia de seguridad y protección de datos. El incumplimiento de estos requerimientos puede traducirse en multas que alcanzan los 600.000 euros, algo a tener en consideración a la hora de utilizar este tipo de servicios en la nube.
Protección de datos en España
Vamos a enfocarnos en el caso concreto de España, donde hay establecida una serie de normativas y leyes que deben aplicarse en el ámbito de la protección de datos en la nube. Por tanto, trataremos la Ley Orgánica de Protección de Datos(LOPD), antes mencionada, y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).
Consultoría LOPD
La LOPD controla las cuestiones relativas al tratamiento de la información personal y a su libre circulación. En este sentido, la Agencia Española de Protección de Datos (AEPD) es el organismo de control encargado de garantizar el cumplimiento de la normativa.
Si la empresa que vamos a contratar va a trabajar con datos personales, ha de cumplir con una serie de condiciones que establece la LOPD:
– Inscripción de los ficheros.
– Obligaciones relacionadas con la información en la recogida, la calidad y el consentimiento de los datos.
– Garantizar los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición.
– Adopción de medidas de seguridad.
En el caso de que los datos no sean personales, la LOPD no establece ninguna clase de requisito. Los datos no personales pueden ser cálculos físicos, fórmulas químicas u operaciones matemáticas, por citar varios ejemplos.
LSSICE
Las empresas y compañías que se dedican a asuntos relacionados con el cloud computing son prestadoras de servicios vinculadas a la sociedad de la información, por lo que deben cumplir los diferentes requerimientos marcados por la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico).
Por tanto, de acuerdo con esta ley, los proveedores de servicios relacionados con la nube deberán informar a sus usuarios de manera sencilla, gratuita y directa sobre las siguientes cuestiones:
– Los medios utilizados para garantizar e incrementar la seguridad de los datos de los clientes, como antivirus, sistemas de antiespionaje y filtros de correo electrónico, en el caso de que fueran necesarios.
– Las correspondientes medidas de seguridad que se aplican con el servicio prestado.
– Las herramientas habilitadas para el filtro y la restricción del acceso a contenidos determinados y servicios de Internet no deseados por el usuario.
– Las consecuencias por las cuales es posible incurrir en la utilización ilícita del servicio.
De todo lo dicho y las consideraciones que contiene la guía de la AEPD, podemos concluir recordando que, si bien los prestadores de servicios en la nube tienen ante ellos la oportunidad de ofrecer unos servicios novedosos, rápidos y muy competitivos, no deben pasar por alto que, si sus clientes están sometidos a la normativa española de protección de datos, ineludiblemente, tendrán que revisar sus contratos, para comprobar el cumplimiento correcto de las diferentes obligaciones que se exigen.
En esencia, los requerimientos son los que a través de estas líneas hemos destacado, sin olvidarnos de que, en caso de no aplicar las obligaciones exigidas, habrá que informar a los clientes; puesto, en caso de omisión, la responsabilidad de cualquier tipo de infracción no solo repercutirá en el cliente, sino también a la propia entidad prestadora de servicios en la nube.
Además de que los proveedores están obligados a notificar a los clientes cualquier incidencia relacionada con la información que tienen en la nube, si los usuarios deciden concluir la relación contractual con el proveedor de cloud computing, este deberá entregar todos los datos de manera segura. Recuerda que un servicio de consultoría LOPD puede resolverte cualquier duda relacionada con el adecuado tratamiento de datos personales.
