Cloud Computing: Qué se debe tener en cuenta a la hora de transferir datos de una empresa a la nube
La Agencia Española de Protección de Datos (AEPD) define el cloud computing como una nueva forma de prestación de los servicios de tratamiento de la información, que permite a los usuarios reducir los costes asociados a este tratamiento, ya que no tienen que realizar inversiones en infraestructura, sino que se utiliza la que pone a su disposición el prestador del servicio de cloud.
De esta forma, el cloud computing representa una nueva forma de utilizar las tecnologías de la información y las comunicaciones, que se basa en emplear técnicas ya existentes de una forma innovadora. Y si la información que se transfiere a la nube contiene datos de carácter personal, deberá cumplirse con el Reglamento General de Protección de Datos (RGPD).
El uso de servicios de computación en la nube ofrece un gran número de ventajas pero presenta también, por sus características, unos riesgos específicos que deben afrontarse con una adecuada elección del prestador de los servicios. Entre estos riesgos se encuentran la falta de transparencia del proveedor y la falta de control por parte del responsable del tratamiento de los datos.
¿Qué se debe tener en cuenta para migrar a la nube?
Es necesario que se evalúe la tipología de datos que se trata, atendiendo a su mayor o menor sensibilidad (por ejemplo, datos meramente identificativos, que no son sensibles, o los relacionados con la salud, que representan la máxima sensibilidad). Asimismo, el cliente deberá informarse acerca de los tipos de nube (privada, pública o híbrida) y las distintas modalidades de servicios.
Una vez obtenida esta información, el cliente debe decidir para qué datos personales se van a contratar los servicios de la nube y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante, ya que delimitará las finalidades para las que el proveedor de los servicios puede tratar los datos.
Desde la perspectiva de la protección de datos, el cliente que contrata los servicios de cloud computing sigue siendo el responsable del tratamiento de los datos personales y el que ofrece la contratación de cloud computing es un prestador de servicios que, de acuerdo con la Ley, tendrá la calificación de encargado del tratamiento.
¿Qué debe hacer la empresa cuando los datos almacenados en la nube se encuentren en otros países?
La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
Mientras que si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
Otros aspectos legales a tener en cuenta
Vamos a pasar a ver algunos otros aspectos legales que debemos tener en cuenta si utilizamos servicios de cloud computing.
Intervención de terceras empresas
El cliente debe solicitar y obtener información sobre si intervienen o no terceras personas (subcontratistas) en la prestación de servicios de cloud computing. Lo más habitual es que sí intervengan terceras empresas. En este caso, el cliente:
- Tiene que dar su autorización previa y por escrito, a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (por ejemplo, en el alojamiento de datos).
- Tiene que poder conocer las terceras empresas que intervienen (por ejemplo, pudiendo acceder a una página web o a través de otras opciones que le facilite el prestador del servicio).
- El proveedor de la nube debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
- El contrato que firma ha de incorporar cláusulas contractuales para la protección de los datos personales.
Confidencialidad
El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos solo para los servicios contratados. Asimismo, debe garantizar que el personal autorizado a tratar datos personales haya suscrito compromisos de confidencialidad o esté sujeto obligaciones de confidencialidad estatutarias.
Medidas de seguridad
El cliente siempre debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.
El proveedor debe poner a su disposición toda la información necesaria para demostrar el cumplimiento de las medidas de seguridad y deberá acreditar, asimismo, que dispone de una certificación de seguridad adecuada.
Del mismo modo, puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.
Por otro lado, el cliente debe ser informado sin dilación indebida por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (por ejemplo, informar a sus propios clientes sobre cómo proteger su información personal). El cifrado de los datos personales es una medida que debe valorarse positivamente.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.