La Agencia Española de Protección de datos ha publicado recientemente (26-04-2013) dos breves guías sobre el Cloud Computing. Una guía va dirigida a los clientes de servicios y la otra a los prestadores de este tipo de servicios. Voy a resumir lo que a mi juicio es lo más relevante de estas guías.
La Ley Aplicable y los sujetos que intervienen en un contrato de Cloud Computing
La normativa de protección de datos distingue dos sujetos distintos en un contrato de servicios de tratamiento de datos: el responsable del fichero (y de su tratamiento) y el encargado del tratamiento.
El primero es la persona, profesional o entidad que decide sobre la finalidad, contenido y uso del tratamiento. El cliente que contrata servicios de cloud computing, sigue manteniendo la condición de responsable del tratamiento de los datos sobre los que se aplicarán los citados servicios. Esta responsabilidad, al derivarse de la aplicación de la ley, no puede alterarse contractualmente.
Por su parte, el proveedor de servicios de cloud computing que implican el acceso a datos personales, aunque sea una gran corporación que se encuentra en una posición prevalente sobre sus clientes, será un prestador de servicios, es decir, un encargado del tratamiento en la terminología de la citada normativa.
La ley aplicable en este tipo de contratos será la del cliente.
Diligencia debida por parte de los clientes
El cliente que contrata a un prestador de servicios de cloud computing tiene una obligación legal de diligencia para ‘velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto’ en la normativa de protección de datos personales.
Este deber de diligencia se traducirá en el establecimiento por parte del cliente de una serie de requerimientos de información al proveedor de servicios, dirigidos a conocer las garantías que ofrece para la protección de los datos personales. Dicha información le resultará imprescindible para decidir sobre la modalidad de nube y el tipo de servicios que contrata y, específicamente, para discriminar cuál o cuáles le ofrecen garantías adecuadas y elegir entre ellos.
Transparencia de los proveedores
El cumplimiento de este deber de diligencia por parte de los clientes ha de tener como contrapartida por parte del prestador de servicios de cloud computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente.
La transparencia es, por tanto, un principio esencial que debe presidir las relaciones entre las partes, especialmente en los casos en que el proveedor de servicios ocupa una posición preeminente sobre los clientes; circunstancia esta que será habitual cuando estos últimos sean pymes, microempresas, profesionales o Administraciones públicas sin gran estructura orgánica.
Riesgos del Cloud Computing según la AEPD
Los principales son la falta de transparencia sobre las condiciones en las que se presta el servicio de tratamiento de datos y la falta de control del responsable del tratamiento sobre el uso y gestión de los datos personales por parte de los encargados del tratamiento a los que se ha subcontratado y que prestan el servicio “en la nube”.
Falta de transparencia
Cuando un responsable de los datos evalúa la subcontratación del tratamiento a un prestador de servicios en la nube, se enfrenta a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.
Falta de control
Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.
GUIA PARA LA CONTRATACIÓN DE SERVICIOS EN RÉGIMEN DE CLOUD COMPUTING
Tal como ya se ha comentado, lo primero que un responsable de datos debe tener presente es que la responsabilidad sobre el proceso de datos sigue siendo suya aunque subcontrate el tratamiento de datos con un tercero. Ni siquiera aunque se incluya una cláusula de responsabilidad en el contrato por la que el encargado se comprometa a indemnizar al cliente en caso de incidencia.
La guía enumera otra serie de puntos que el cliente de este tipo de tratamientos debe tener en cuenta:
Evaluar el coste-beneficio de externalizar:
El cliente ha de estudiar con detalle qué parte o partes de los tratamientos que realiza son susceptibles de ser transferidos a servicios de computación en nube considerando no sólo los beneficios, sino igualmente los potenciales riesgos que se van a asumir. Hay que tener en cuenta que la transferencia de datos a servicios de computación no excluye en principio a ningún tipo de dato, siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas, en forma de medidas organizativas y técnicas, proporcionadas por el proveedor.
Evaluar a los proveedores y las condiciones en que se presta el servicio:
Debe verificarse de forma previa a la contratación las condiciones en la que se presta el servicio con el fin de determinar si ofrecen un nivel adecuado de cumplimiento. Las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la información proporcionada, ubicación del tratamiento, existencia de subencargados, políticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio.
Es aconsejable comparar las características ofrecidas por varios proveedores, no sólo en términos económicos sino también en relación con los contenidos de la prestación y las garantías de calidad y cumplimiento legal que cada proveedor proporciona.
Otros puntos importantes a tener en cuenta:
El responsable debe obtener información del proveedor en la nube sobre si intervienen o no terceras empresas (subcontratistas) en la prestación del servicio. Si es así:
• Tiene que dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros.
• El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
Asimismo, el contrato que se firme debe establecer las condiciones que permiten dar cuenta de las siguientes cuestiones:
• Si el proveedor encargado del tratamiento realiza el tratamiento de datos en países que no pertenecen al espacio económico Europeo (países distintos de la Unión Europea, Islandia, Liechtenstein y Noruega), entonces, al tratarse de una transferencia internacional de datos, el contrato debe proveer las garantías jurídicas adecuadas para garantizar un nivel de protección equivalente (por ejemplo, en el caso de empresas ubicadas en EEUU, aquellas que hayan suscrito los principios del estándar Safe Harbour),
• En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos. En otro caso, la transferencia internacional de datos necesitará autorización del Director de la Agencia Española de Protección de Datos, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas.
• Cuando los datos están localizados en terceros países podría suceder que una Autoridad competente pueda solicitar y obtener información sobre los datos personales de los que el cliente es responsable. En este caso el cliente debería ser informado por el proveedor de esta circunstancia (salvo que lo prohíba la ley del país tercero).
• Debe exigirse al proveedor que proporcione el plan de seguridad con las medidas técnicas para garantizar la confidencialidad, integridad y disponibilidad de la información, siendo recomendable que le requiera la acreditación de que posee certificaciones de seguridad adecuadas (para mayor detalle, ver nuestros artículso en este blog titulados ‘Asignaturas pendientes del modelo de Cloud Computing’ , ‘Aplicaciones de negocio críticas en la nube’ y ‘Fallos comunes en los proyectos de outsourcing‘)
• Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará. Debe solicitarse información al proveedor de cloud sobre cómo se auditarán las medidas de seguridad.
• El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse.
• El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite información al proveedor de cloud sobre el cifrado de los datos.
• El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados.
• La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
• En particular, el cliente debe tener la opción de exigir la portabilidad de la información a sus propios sistemas de información o a un nuevo prestador de cloud cuando considere inadecuada la intervención de algún subcontratista o la transferencia de datos a países que estime no aportan garantías adecuadas. También es particularmente importante en los casos en que el proveedor de cloud modifique unilateralmente las condiciones de prestación del servicio dado su poder de negociación frente al cliente.
El cliente que contrate servicios de cloud computing, al seguir siendo el responsable del tratamiento de los datos personales, está obligado a facilitar el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición a los interesados en los plazos legales. Para ello es posible que precise de la colaboración del prestador de servicios de cloud computing. quien deberá colaborar, proporcionando información al respecto y, cuando se solicite, hacerla efectiva diligentemente.
Negocios bajo control 