Un prestador de servicios cloud podría ser considerado corresponsable del tratamiento
Un prestador de servicios cloud podría ser considerado corresponsable del tratamiento. Así lo ha demostrado la autoridad de protección de datos de Eslovenia inició una investigación de oficio respecto a un prestador de servicios cloud, y concluyó que podría ser considerado como corresponsable del tratamiento.
En este artículo analizamos la situación con detenimiento y te damos todas las claves.
¿Qué es un prestador de servicios cloud y cuál es su función?
Un proveedor de servicios en la nube es una compañía externa que ofrece servicios de plataforma, infraestructura, aplicaciones o almacenamiento basados en la nube o “cloud”.
Además, estos proveedores de servicios en la nube aportan a las compañías un gran número de ventajas. Las empresas pueden aprovechar la escalabilidad y la flexibilidad (ya que no están limitadas a las restricciones físicas de los servidores locales), la confiabilidad que ofrecen varios centros de datos con redundancia múltiple, la configuración personalizada de los servidores según sus preferencias y una funcionalidad de equilibrio de carga que responde con rapidez a la demanda variable. No obstante, es importante evaluar también los aspectos relacionados con la seguridad del almacenamiento de información en la nube, con el fin de garantizar que se cumple la normativa de aplicación.
¿Qué es un corresponsable del tratamiento de datos personales?
Para definir qué sería un corresponsable del tratamiento, es preciso primero que hablemos de la figura del responsable.
En este sentido, de acuerdo con el Reglamento General de Protección de Datos, se considera responsable del tratamiento de datos personales aquella persona física o jurídica que lleva a cabo un tratamiento de datos de personales según los fines y medios que haya decidido.
Teniendo en cuenta esta definición, el corresponsable del tratamiento de datos personales es aquel responsable que lleva a cabo la actividad descrita de forma conjunta con otro responsable, de forma que han llegado a un acuerdo sobre los fines y medios que se utilizan para llevar a cabo el tratamiento.
¿Un prestador de servicios cloud podría ser considerado corresponsable del tratamiento de datos personales?
La autoridad de protección de datos de Eslovenia inició una investigación de oficio respecto a un prestador de servicios cloud, y concluyó que podría ser considerado como corresponsable del tratamiento.
En este sentido, la autoridad eslovena estableció que el modelo de negocio de “cloud computing” consistía en el manejo de detalles técnicos complejos para simplificar el tratamiento y acceso a los datos de sus clientes y estos clientes tenían poca o ninguna influencia sobre las medidas técnicas y organizativas empleadas por el proveedor de servicios cloud.
Teniendo esto en cuenta, como los clientes no podían garantizar el cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos, el proveedor cloud actúa como responsable al determinar los procesos mediante los que se tratan los datos y la contratación de subencargados.
De esta manera, como tanto el proveedor cloud como sus clientes determinaban los fines del tratamiento, ejercían un control conjunto y, por tanto, deben firmar un acuerdo de corresponsabilidad.
De acuerdo con lo anterior, surge la cuestión de si priman los fines o los medios y desde el European Data Protection Board se ha establecido lo siguiente: «Los medios no esenciales están relacionados con aspectos más prácticos del tratamiento en sí, como la elección de un tipo particular de hardware o software o la decisión sobre los pormenores de las medidas de seguridad, que pueden dejarse en manos del encargado del tratamiento«.
Implicaciones legales a tener en cuenta
La Agencia Española de Protección de Datos señala que la aplicación de la normativa de protección de datos a la oferta de servicio de cloud computing ha de tener como punto de partida la identificación de la posición jurídica que ocupan, respectivamente, el proveedor de dichos servicios y los clientes con los que contrata.
Por lo que, considerando lo señalado anteriormente, si el proveedor de servicios cloud, en lugar de ser un encargado del tratamiento, pasa a identificarse como corresponsable, deberá tener en cuenta otra serie de cuestiones en materia de protección de datos que le serán de aplicación.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.