La nube o cloud computing es un sistema de información que permite acceder a servicios informáticos desde internet y desempeña cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de la información.
Muchas son las empresas que se están animando a contratar este tipo de servicio debido a las ventajas que ofrece, entre ellas permite aligerar la infraestructura tecnológica y costes.
Si estas pensando en contactar con una empresa que ofrece servicios en la nube o cloud computing deberás tener en cuenta las siguientes consideraciones que permiten garantizar el cumplimiento normativo en materia de protección de datos. Además, si en tu negocio hay grandes flujos de información es aconsejable contar con el asesoramiento de especialistas en la materia.
Antes de analizar sobre quién recae la responsabilidad hay que diferenciar los roles presentes en la relación contractual. Por un lado, nos encontraremos con la empresa que ofrece el servicio de cloud computing, es decir, el proveedor (en adelante, “Procesador”) siendo el encargado de procesar o almacenar la información en nombre del cliente. Por otro lado, está el cliente, que determinará los medios de almacenamiento o procesamiento de los datos de carácter personal (en adelante, “Controlador”).
Posiblemente te sientas en desventaja en la negociación de las condiciones de contratación del servicio y abrumado por la documentación técnica y contratos estándar que la misma compañía te impone. Pues bien, al contrario de lo que la situación descrita pueda parecer, es el cliente el que debe tener mayor poder de decisión sobre la asignación de los recursos al servicio según sus necesidades. Este desequilibrio no puede ser considerado como una justificación por el cliente para aceptar los términos y condiciones del proveedor que no cumplan con los requisitos de la normativa en materia de protección de datos.
Es obligación del Controlador escoger a un Procesador que garantice el cumplimiento de dicha normativa. Ésta es una característica inherente a cualquier responsable del tratamiento mientras que la posición del Procesador se equipara a la del encargado del tratamiento.
Así, el Procesador tiene el deber de garantizar la confidencialidad y la responsabilidad de adoptar las medidas de seguridad exigidas por la normativa europea.
Además del contrato de prestación de servicios, la relación del Controlador y el Procesador deberá de plasmarse en un contrato u otro acto jurídico que establezca el objeto, duración, naturaleza, la finalidad del tratamiento, el tipo de datos personales y categoría de interesados, los derechos y obligaciones del responsable. Este contrato servirá para vincular y ordenar la relación entre el responsable y encargado del tratamiento ya que el segundo tratará los datos por cuenta del primero.
Consejos para garantiza el cumplimiento normativo
El contrato entre las partes debe dejar reflejado claramente que el Procesador está siguiendo las instrucciones del Controlador, por lo que el primero debe implementar las medidas técnicas y organizativas adecuadas para proteger los datos de carácter personal. Además del contenido exigido por al artículo 28 del Reglamento General de Protección de Datos para el contrato de encargado del tratamiento, se deberá de recoger por escrito lo siguiente:
- La clausula de confidencialidad;
- El soporte disponible para el cliente;
- Un listado sobre las localizaciones donde pueden procesarse o almacenarse los datos;
- La obligación de informar sobre cambios relevantes en el servicio;
- La obligación de garantizar el cumplimiento de los requerimiento y estándares aplicables en el ámbito nacional o internacional por parte del proveedor.
El Controlador deberá de solicitar al Procesador, ya que en raras ocasiones será iniciativa del Procesador entregarlo, un documento donde se recojan todas las medidas técnicas y organizativas que el Procesador aplica en el servicio de cloud computing.
La característica vital que el Controlador debe tener en cuenta a la hora de elegir un Procesador es su nivel de seguridad en protección de datos. Para ello deberá de examinar la documentación de medidas técnicas y organizativas del Procesador y analizar si las siguientes características han sido suplidas:
- Disponibilidad, es decir, cuando el Procesador garantiza un acceso fiable, en tiempo y forma;
- Confidencialidad, implementación adecuada de encriptación cuando los datos están en reposo y cuando se encuentran en tránsito;
- Integridad, garantizando que los datos son auténticos y no han sufrido ataques alterándolos en cualquiera de las actividades de cloud computing;
- Transparencia, se cumplirá siempre que el Procesador facilite al Controlador toda la información necesaria sobre el servicio y sus características;
- Aislamiento, se encuentra relacionado con el principio de limitación de la finalidad. El Procesador deberá de garantizar que los datos no son utilizados para finalidad no contempladas cuando se recabaron asegurando su confidencialidad e integridad;
- Intervencionalidad, siendo el Procesador el que debe facilitar el ejercicio de los derechos al Controlado;
- Responsabilidad, relacionándolo con el principio de proactividad, el Procesador deberá de poder demostrar que implantó las medidas técnicas y organizativas necesarias con el objetivo de garantizar la seguridad de los datos personales;
- Portabilidad, desgraciadamente, esta característica es la más ausente en todos los Procesadores. En la práctica, los Controladores suelen tener dificultades para migrar los datos de un sistema cloud a otro. El Procesador suele entorpecer o bloquear esta característica.
Como se mencionaba anteriormente, el Controlador debería de poder conocer el listado de sobre las localizaciones donde puedan procesarse o almacenarse los datos. Esto se debe a que la normativa nacional o internacional aplicable dependerá de la localización del centro de procesamiento o almacenamiento.
Por esta razón, el Controlador deberá de estar en posición de poder comprobar que el Procesador puede garantizar la legalidad de las transferencias de datos transfronterizas e incluso, de poder limitar ciertas transferencias a algunos países. Debido a su complejidad, las transferencias de datos transfronterizas serán objeto de otro post.
En conclusión, la decisión de confiar en una empresa que ofrece servicios cloud computing es de gran envergadura, pudiendo acarrear importantes consecuencias monetarias dependiendo de la gravedad de la infracción a demás de generar el derecho de indemnización de los titulares de los datos personales.
Así, sobre el Controlador recaerá la responsabilidad de elegir un Procesador que implemente medidas técnicas y organizativas adecuadas de seguridad con el objetivo de proteger los datos de carácter personal. Mientras que, sobre el Procesador recaerá lo obligación de aplicar dichas medidas.