Conócenos

PRIVACIDAD

Conclusiones de la Sesión sobre el Nuevo Estándar de Seguridad y Privacidad en Cloud Computing: ISO 27018

El 16 de diciembre de 2014 se celebró en la Fundación para la Investigación sobre el Derecho y la Empresa (Fide) esta sesión de debate en la que participaron abogados, asesores jurídicos, economistas y magistrados.


  • Imprimir

El 74,4% de los hogares españoles tiene conexión a Internet en 2014

Bajo la moderación de Cristina Jiménez Savurido, Presidente de Fide y Magistrada en excedencia, intervinieron inicialmente:

• Ricard Martínez, Presidente de Asociación Profesional Española de Privacidad (APEP). Miembro del Consejo Académico de Fide.

• Luis de Salvador, Jefe de Área de la Inspección de datos, Agencia Española de Protección de Datos.

• Nicolas Schifano, Policy EMEA Standards & Interop Director, Microsoft.


El desarrollo de la sesión contó con las siguientes intervenciones:

La sesión se inicia con una presentación formal de la moderadora, Cristina Jiménez Savurido, que traslada al primer ponente la función de ordenar técnicamente la sesión.

En primer lugar, interviene Ricard Martínez cuya ponencia se centra en situar el debate desde el punto de vista de los problemas que plantea la contratación de un servicio de Cloud Computing en términos jurídicos, técnicos y de negocio. En este sentido, a lo largo de su exposición se subrayan las siguientes ideas:

• La seguridad jurídica —en particular el respeto a las normas de protección de datos personales— ocupa un lugar central en las inquietudes de las empresas y organizaciones que contratan Cloud.

• Las cuestiones de privacidad, muy particularmente las quiebras de seguridad, son percibidas por clientes y consumidores como una barrera que frena el desarrollo de estos servicios desde la óptica de la confianza del mercado. 

• Habida cuenta de la naturaleza del servicio y de su estructura, el mercado del Cloud es asimétrico y ello determina en muchos casos la imposibilidad de personalizar de modo específico, a modo de ‘traje a medida’, las condiciones del servicio. 

• La legislación española hace pivotar los elementos centrales de cumplimiento normativo sobre el responsable del fichero —el cliente del Cloud— del que se espera diligencia en la elección del proveedor encargado del tratamiento. En la práctica, cuando quien contrata es una PYME resulta imposible desarrollar procedimientos de diligencia debida tales como una consultoría o auditoría externa. Ello supone que, a menos que se articulen otras fórmulas, el responsable puede verse abocado a tener que depositar su confianza únicamente en función de unas condiciones contractuales que se le presenten.

• Adicionalmente subrayó preguntas o dudas que angustian a los responsables en materia de garantía de la seguridad, procedimientos de respuesta ante incidentes o acciones de autoridades policiales o judiciales de otros países.

• Desde este punto de vista consideró que el Nuevo Estándar de Seguridad y Privacidad en Cloud Computing: ISO 27018 constituye una aportación positiva que debe ser bienvenida, y en particular los controles y precisiones de su Anexo A.


En segundo lugar, Luis de Salvador abordó en su intervención aspectos concretos del estándar objeto de estudio en la sesión. En concreto:

• Situó el estándar ISO 27018 en su contexto: los estándares ISO 27001 y 27002, orientados a continuidad de negocio, y el estándar ISO 29100. En tal sentido era necesario cimentar en los responsables de seguridad, y en general responsables corporativos relacionados con la materia, la necesidad de interpretar el estándar ISO 27018, y los controles heredados del estándar ISO 27002, desde un enfoque basado en protección de datos personales. 

• Asimismo abordo aspectos muy específicos del estándar ISO 27018 en relación con su aplicación. En este sentido se hizo una lectura crítica de aspectos como:

- El tratamiento de problemas específicos en el entorno de cloud como son: la virtualización; la distribución de roles entre responsable, encargado y subencargados a la hora de la gestión de usuarios, backup, controles criptográficos y otros; y la recogida de datos personales más allá de los proporcionados por el responsable y derivados de los datos de tráfico y otros metadatos.

- La falta de concreción en ciertos aspectos como son las obligaciones de portabilidad e interoperabilidad, el consentimiento a la hora de tratar los datos con propósitos de marketing o la declaración de subencargados más allá de las tareas de almacenamiento de datos.

• En opinión del ponente se trata de una guía de buenas prácticas que no sustituye a la Ley aunque constituye un primer paso positivo que necesita ineludiblemente de disponer de un proceso de certificación que permita acreditar su cumplimiento por terceros de confianza.

• Asimismo señaló que sería deseable que se incluyera de modo expreso una cláusula de transparencia y apertura al control por las autoridades de protección de datos personales.


Por último, Nicolas Schifano desarrolló un análisis del estándar cuyos elementos centrales son los siguientes:

• Desde el punto de vista de los contenidos, el estándar ISO 27018 se alinea de modo muy directo con los objetivos normativos del modelo europeo de protección de datos personales y ofrece confianza al mercado en la capacidad de cumplimiento de los proveedores que lo implanten.

• Desde el punto de vista de contenidos concretos, que se expusieron a modo de ejemplo, puede apreciarse de modo claro la identidad de objetivos de los controles del estándar ISO con las previsiones normativas vigentes y con los objetivos que incorpora la Propuesta de Reglamento General de Protección de Datos hoy en tramitación.

• Por otra parte, aportó a la audiencia elementos de conocimiento respecto de las condiciones de desarrollo de este estándar. A tal efecto, subrayo que en su desarrollo incluyeron no sólo una revisión de buenas prácticas en materia de tratamiento de información en Cloud a nivel internacional sino que adicionalmente recogieron los contenidos del Dictamen sobre Cloud Computing publicado por el Grupo de Trabajo del artículo 29 de la Directiva. 

• Finalmente subrayó el valor positivo que aporta este estándar al mercado y su capacidad para promover el negocio. En este sentido, el estándar ISO 27018 se convertirá en un referente directo que distinguirá a los proveedores y en el caso español puede poseer una relevancia adicional en la medida en la que incorpora al acervo de la Unión Europea su proyección en el mercado americano.


Finalizadas las intervenciones se produjo un vivo debate centrado esencialmente en dos aspectos: 

• La coherencia de ISO 27018 con las exigencias normativas vigentes. 

• La solicitud expresa a los representantes de la Agencia Española de Protección de Datos en la sala a fin de que se reconozcan efectos jurídicos concretos a este tipo de estándares o, al menos, en el marco jurídico actual, que se consideren como prueba de la diligencia desplegada por los responsables al contratar Cloud. En tal sentido no se trataría tanto de que el estándar 4 ISO 27018 sustituya a la ley, como de valorar positivamente las virtudes de este nuevo estándar.


Conclusiones:

• El estándar ISO 27018 proporciona un marco de controles alineado con los objetivos de la legislación española y la de la Unión Europea en materia de protección de datos personales a juicio de juristas y la industria. 

• El estándar ISO 27018 es bienvenido como un instrumento útil que puede contribuir a proporcionar confianza al mercado respecto de la capacidad de cumplimiento normativo de los encargados del tratamiento en entornos de Cloud.

• Cabe esperar pasos adicionales a fin de conseguir dos objetivos: un alineamiento más completo de las normas ISO con el Ordenamiento de la UE y la definición de un procedimiento de certificación específica de su aplicación efectiva por las organizaciones, sin perjuicio de las auditorías que realicen terceros independientes de acuerdo con otros estándares. 

• Los expertos reivindican un posicionamiento claro de las autoridades de protección de datos personales que, además de saludar la aprobación del estándar ISO 27018, avancen en valorar la diligencia de los responsables que contraten Cloud a proveedores que cumplen con este estándar.

(Fuente de la información: Fundación para la Investigación sobre el Derecho y la Empresa). 

  • Imprimir
Widgets Magazine

COMENTARIOS JURISPRUDENCIALES

ebook gratuito

CASE STUDY & MASTER CLASS

ENTREVISTAS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

GESTIÓN DE DESPACHOS

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Auren diseña la red de la DreamHack Valencia 2018

El evento está considerado uno de los mayores encuentros de entretenimiento digital del mundo. La firma española de servicios profesionales ha instalado una tecnología puntera que permitirá un rendimiento óptimo en la experiencia de juego 

La consultora Open-Ideas entra en la junta directiva de AUTELSI

La Asociación de Usuarios de Telecomunicación y Sociedad de la Información (AUTELSI), ha elegido el pasado 28 de junio a su nueva Junta directiva.

La falta de cultura corporativa y la sobrecarga administrativa son los principales obstáculos a la implantación de programas de buen gobierno.

La solución pasa por la implementación de herramientas tecnológicas que aporten una visión global de la actividad de la compañía y ahorren hasta 20 horas de tiempo de gestión en reuniones directivas.

Flash Eurobarometer 468. The end of roaming charges one year later (Comisión Europea)

El informe señala que el 15 de junio de 2017 desaparecieron en la Unión Europea (UE) las tarifas de roaming que se aplicaban a los servicios móviles de voz, envío de mensajes de texto e Internet móvil en países de la Unión distintos al propio.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17