El Derecho

Conócenos

PRIVACIDAD

Conclusiones de la Sesión sobre el Nuevo Estándar de Seguridad y Privacidad en Cloud Computing: ISO 27018

El 16 de diciembre de 2014 se celebró en la Fundación para la Investigación sobre el Derecho y la Empresa (Fide) esta sesión de debate en la que participaron abogados, asesores jurídicos, economistas y magistrados.


  • Imprimir

El 74,4% de los hogares españoles tiene conexión a Internet en 2014

Bajo la moderación de Cristina Jiménez Savurido, Presidente de Fide y Magistrada en excedencia, intervinieron inicialmente:

• Ricard Martínez, Presidente de Asociación Profesional Española de Privacidad (APEP). Miembro del Consejo Académico de Fide.

• Luis de Salvador, Jefe de Área de la Inspección de datos, Agencia Española de Protección de Datos.

• Nicolas Schifano, Policy EMEA Standards & Interop Director, Microsoft.


El desarrollo de la sesión contó con las siguientes intervenciones:

La sesión se inicia con una presentación formal de la moderadora, Cristina Jiménez Savurido, que traslada al primer ponente la función de ordenar técnicamente la sesión.

En primer lugar, interviene Ricard Martínez cuya ponencia se centra en situar el debate desde el punto de vista de los problemas que plantea la contratación de un servicio de Cloud Computing en términos jurídicos, técnicos y de negocio. En este sentido, a lo largo de su exposición se subrayan las siguientes ideas:

• La seguridad jurídica —en particular el respeto a las normas de protección de datos personales— ocupa un lugar central en las inquietudes de las empresas y organizaciones que contratan Cloud.

• Las cuestiones de privacidad, muy particularmente las quiebras de seguridad, son percibidas por clientes y consumidores como una barrera que frena el desarrollo de estos servicios desde la óptica de la confianza del mercado. 

• Habida cuenta de la naturaleza del servicio y de su estructura, el mercado del Cloud es asimétrico y ello determina en muchos casos la imposibilidad de personalizar de modo específico, a modo de ‘traje a medida’, las condiciones del servicio. 

• La legislación española hace pivotar los elementos centrales de cumplimiento normativo sobre el responsable del fichero —el cliente del Cloud— del que se espera diligencia en la elección del proveedor encargado del tratamiento. En la práctica, cuando quien contrata es una PYME resulta imposible desarrollar procedimientos de diligencia debida tales como una consultoría o auditoría externa. Ello supone que, a menos que se articulen otras fórmulas, el responsable puede verse abocado a tener que depositar su confianza únicamente en función de unas condiciones contractuales que se le presenten.

• Adicionalmente subrayó preguntas o dudas que angustian a los responsables en materia de garantía de la seguridad, procedimientos de respuesta ante incidentes o acciones de autoridades policiales o judiciales de otros países.

• Desde este punto de vista consideró que el Nuevo Estándar de Seguridad y Privacidad en Cloud Computing: ISO 27018 constituye una aportación positiva que debe ser bienvenida, y en particular los controles y precisiones de su Anexo A.


En segundo lugar, Luis de Salvador abordó en su intervención aspectos concretos del estándar objeto de estudio en la sesión. En concreto:

• Situó el estándar ISO 27018 en su contexto: los estándares ISO 27001 y 27002, orientados a continuidad de negocio, y el estándar ISO 29100. En tal sentido era necesario cimentar en los responsables de seguridad, y en general responsables corporativos relacionados con la materia, la necesidad de interpretar el estándar ISO 27018, y los controles heredados del estándar ISO 27002, desde un enfoque basado en protección de datos personales. 

• Asimismo abordo aspectos muy específicos del estándar ISO 27018 en relación con su aplicación. En este sentido se hizo una lectura crítica de aspectos como:

- El tratamiento de problemas específicos en el entorno de cloud como son: la virtualización; la distribución de roles entre responsable, encargado y subencargados a la hora de la gestión de usuarios, backup, controles criptográficos y otros; y la recogida de datos personales más allá de los proporcionados por el responsable y derivados de los datos de tráfico y otros metadatos.

- La falta de concreción en ciertos aspectos como son las obligaciones de portabilidad e interoperabilidad, el consentimiento a la hora de tratar los datos con propósitos de marketing o la declaración de subencargados más allá de las tareas de almacenamiento de datos.

• En opinión del ponente se trata de una guía de buenas prácticas que no sustituye a la Ley aunque constituye un primer paso positivo que necesita ineludiblemente de disponer de un proceso de certificación que permita acreditar su cumplimiento por terceros de confianza.

• Asimismo señaló que sería deseable que se incluyera de modo expreso una cláusula de transparencia y apertura al control por las autoridades de protección de datos personales.


Por último, Nicolas Schifano desarrolló un análisis del estándar cuyos elementos centrales son los siguientes:

• Desde el punto de vista de los contenidos, el estándar ISO 27018 se alinea de modo muy directo con los objetivos normativos del modelo europeo de protección de datos personales y ofrece confianza al mercado en la capacidad de cumplimiento de los proveedores que lo implanten.

• Desde el punto de vista de contenidos concretos, que se expusieron a modo de ejemplo, puede apreciarse de modo claro la identidad de objetivos de los controles del estándar ISO con las previsiones normativas vigentes y con los objetivos que incorpora la Propuesta de Reglamento General de Protección de Datos hoy en tramitación.

• Por otra parte, aportó a la audiencia elementos de conocimiento respecto de las condiciones de desarrollo de este estándar. A tal efecto, subrayo que en su desarrollo incluyeron no sólo una revisión de buenas prácticas en materia de tratamiento de información en Cloud a nivel internacional sino que adicionalmente recogieron los contenidos del Dictamen sobre Cloud Computing publicado por el Grupo de Trabajo del artículo 29 de la Directiva. 

• Finalmente subrayó el valor positivo que aporta este estándar al mercado y su capacidad para promover el negocio. En este sentido, el estándar ISO 27018 se convertirá en un referente directo que distinguirá a los proveedores y en el caso español puede poseer una relevancia adicional en la medida en la que incorpora al acervo de la Unión Europea su proyección en el mercado americano.


Finalizadas las intervenciones se produjo un vivo debate centrado esencialmente en dos aspectos: 

• La coherencia de ISO 27018 con las exigencias normativas vigentes. 

• La solicitud expresa a los representantes de la Agencia Española de Protección de Datos en la sala a fin de que se reconozcan efectos jurídicos concretos a este tipo de estándares o, al menos, en el marco jurídico actual, que se consideren como prueba de la diligencia desplegada por los responsables al contratar Cloud. En tal sentido no se trataría tanto de que el estándar 4 ISO 27018 sustituya a la ley, como de valorar positivamente las virtudes de este nuevo estándar.


Conclusiones:

• El estándar ISO 27018 proporciona un marco de controles alineado con los objetivos de la legislación española y la de la Unión Europea en materia de protección de datos personales a juicio de juristas y la industria. 

• El estándar ISO 27018 es bienvenido como un instrumento útil que puede contribuir a proporcionar confianza al mercado respecto de la capacidad de cumplimiento normativo de los encargados del tratamiento en entornos de Cloud.

• Cabe esperar pasos adicionales a fin de conseguir dos objetivos: un alineamiento más completo de las normas ISO con el Ordenamiento de la UE y la definición de un procedimiento de certificación específica de su aplicación efectiva por las organizaciones, sin perjuicio de las auditorías que realicen terceros independientes de acuerdo con otros estándares. 

• Los expertos reivindican un posicionamiento claro de las autoridades de protección de datos personales que, además de saludar la aprobación del estándar ISO 27018, avancen en valorar la diligencia de los responsables que contraten Cloud a proveedores que cumplen con este estándar.

(Fuente de la información: Fundación para la Investigación sobre el Derecho y la Empresa). 

  • Imprimir
Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Los ayuntamientos españoles pueden ahorrar hasta un 60% en gastos con tecnologías de smart cities

Los ayuntamientos españoles pueden ahorrar entre un 20% y un 60% de sus gastos gracias a la aplicación de tecnología digital en la gestión de agua, residuos, alumbrado, movilidad y edificación, según un estudio elaborado por la consultora KPMG en colaboración con la empresa tecnológica Siemens, que señala que la digitalización puede mejorar la calidad de vida de los ciudadanos y, al mismo tiempo, permitir importantes ahorros en las arcas públicas.

La empresa española Lleida.net obtiene la patente de su método de contratación electrónica certificada en USA por un periodo de 20 años

La concesión consolida la presencia de Lleida.net en el mayor mercado mundial en derechos de propiedad y servicios tecnológicos. La firma tecnológica, que cotiza en el MAB (Mercado Alternativo Bursátil: LLN) desde hace dos años, refuerza su apuesta por el sector de la contratación electrónica.

AirHelp incorpora su primer AI lawyer, abogado con Inteligencia Artificial, para gestionar las reclamaciones por retraso de vuelos

El lanzamiento de Lara optimizará las capacidades legales de la compañía permitiendo el crecimiento de sus servicios legales y su expansión en este mercado

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17