Conócenos

Protección de datos ante la contratación de servicios “cloud computing”

Por José J. Ivars

CEO en IvarsTec

  • Imprimir

Antes de entrar en el análisis de cómo afecta la legislación en materia de protección de datos a al cloud computing, es necesario que entendamos este concepto, que cada vez se encuentra más arraigado y es utilizado no solo por particulares, sino por empresas  y organizaciones  por la unión que puede producirse entre este servicio y su actividad empresarial, provoca fórmulas que desembocan en una mayor productividad, optimización de los recursos, un desarrollo empresarial y  nuevas líneas de negocio, sin que suponga para las empresas la realización de fuertes inversiones.

Cloud computing o computación en la nube es una solución tecnológica que permite ofrecer servicios a través de internet tales como la utilización de software, almacenamiento y sincronización de archivos, bases de datos, correo electrónico, gestión remota de información, de forma que estén accesibles a los usuarios de manera virtual, en cualquier momento, en cualquier lugar y desde cualquier dispositivo.

El 61% de las empresas españolas tienen en marcha proyectos en la nube y el 75% si hablamos de Pymes. Desarrollando planes para la utilización de esta solución sobre todo en ámbitos de colaboración (57%), Email (49%), CRM (37%), Gestión de RRHH (35%), Gestión de Contenidos web (29%) y ofimática (29%) entre otros, según fuentes publicadas en el Diario Expansión.

Una vez explicado muy sucintamente en que consiste la nube, debemos de plantearnos una serie de consideraciones legales antes de proceder a la contratación de una solución de Cloud Computing.

¿Qué legislación nos afecta? Es la legislación en materia de protección de datos, más concretamente la Ley 15/1999 sobre Protección de Datos de Carácter Personal de 13 de Diciembre (LOPD) y el Real Decreto 1720/2007 que la desarrolla.

Y dentro de este entorno aparecen la figura del interesado en contratar los servicios de cloud Computing y los prestadores del servicio de esta solución. Los contratantes dentro del marco de la LOPD, actúan como responsables del fichero de toda la información que vuelquen en la nube. Por otro lado el prestador del servicio, que adopta la figura de encargado de tratamiento.

¿Y qué significa esto? Que como contratantes debemos cumplir con los requisitos legales de la Ley y su Reglamento y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. El Art. 3.d) de la LOPD define al responsable del fichero como la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. El Art. 3.g) define al encargado de tratamiento como la persona física o jurídica, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Definidas las figuras y decidido la contratación de esta solución debemos asegurarnos que  en las condiciones del contrato contenga lo estipulado el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a datos por parte de terceros, el Art. 12 define el acceso a datos por parte de terceros como ”… la realización de tratamientos por cuenta de terceros a los datos deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”

Este contrato deberá hacer mención expresa, como mínimo, a los siguientes aspectos: Una descripción detallada de las prestaciones a realizar y finalidad; Si el servicio va a tener o no, carácter remunerado; si la prestación va a ser temporal o indefinida; Que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero; que el Encargado del tratamiento no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o utilizará, ni siquiera para su conservación, a otras personas, salvo previa indicación expresa del responsable del fichero; posibilidad de subcontratación de los servicios, contando con autorización del responsable del fichero; las medidas de seguridad que el encargado del tratamiento está obligado a implementar, atendiendo al contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la obligación de guardar secreto respecto de los datos objeto de tratamiento y una vez finalizada la prestación de servicio los datos de carácter personal deberán ser devueltos al responsable del tratamiento.

Además de este requisito legal debemos exigir unas medidas de seguridad que están establecidas legal y reglamentariamente, más aun cuando por la tipología de la información se traten de datos sensibles, y  asegurarnos que nos garanticen la confidencialidad, integridad y disponibilidad de los datos e información que subimos a la nube, punto este que es considerado como máxima en la implantación de Sistemas de Gestión de la Seguridad de la Información.

Entre alguna de estas medidas como se explica en la Guía para clientes que contraten servicios de Cloud Computing que elaboró la Agencia Española de Protección de Datos se encuentran las siguientes,

  • Medidas de seguridad indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
  • Nivel de seguridad exigible dependiendo de la sensibilidad de los datos personal.
  • Acceso a la información a través de redes de comunicaciones debe completar un nivel de medidas de seguridad equivalente al del acceso en modo local.

Otro punto a tener muy en cuenta es la posibilidad de que al contratar estos servicios, la prestataria que nos ofrece la solución Cloud Computing este ubicada en otro país, y por tanto nos encontremos con una transferencia internacional de datos, ante este hecho debemos analizar las siguientes particularidades,

  • Si el proveedor de servicios se encuentra en el Espacio Económico  Europeo, en este caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
  • En caso de los que se encuentren ubicados en Estados Unidos y que se hayan suscrito a los principios establecidos en el denominado Safe harbor (garantías adecuadas para las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor. Estas entidades se consideran que tienen las garantías adecuadas de seguridad.
  • Por último, de tratarse de países con características distintas de las descritas en los dos puntos anteriores, deberemos contar con una autorización previa del Director de la Agencia Española de Protección de Datos, que será otorgada en caso de que el exportador de datos cumpla con los requisitos de garantías adecuadas.
  • Actualmente estos son los países con un nivel adecuado de protección.
    • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos. Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003. Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003. Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.  Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008. Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010. Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010. Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011. Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012. Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD.

Son muchos los beneficios que obtenemos de la utilización de la nube tanto a nivel empresarial como personal, pero antes de hacer uso de estos servicios en los que volcamos todo tipo de información, debemos asegurarnos que la empresa que los vaya a albergar cumpla con todos los requisitos legales y de seguridad para garantizarnos su total protección ya que no hay activo más importante que nuestra información.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Govertis incorpora a Francisco González-Calero como Legal and Privacy Advisory Leader

Sus funciones principales serán la formación de Delegados de Protección de Datos y la participación en proyectos de adaptación al Reglamento Europeo de Protección de Datos.

AirHelp incorpora su primer AI lawyer, abogado con Inteligencia Artificial, para gestionar las reclamaciones por retraso de vuelos

El lanzamiento de Lara optimizará las capacidades legales de la compañía permitiendo el crecimiento de sus servicios legales y su expansión en este mercado

La aplicación I-pobles” se implementa en fase piloto en 17 localidades de la provincia de Valencia

i-pobles es un proyecto de la Diputació que permitirá tratar la información con la administración de forma electrónica

feedburner

Reciba LAW & TIC de forma gratuita.

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17