En el artículo anterior sobre qué era la nube planteábamos una serie de dudas, algunas de las cuales vamos a intentar despejar a continuación. Muchas veces, y es un error común, tendemos a pensar que cuando protegemos nuestro archivo de clientes, nuestra base de datos, hemos cumplido plenamente con la LOPD. Sin embargo, dicha Ley cubre cualquier dato que nosotros podamos almacenar respecto a una tercera persona, sea en el documento que sea. Por ello, no basta con que tengamos bajo control nuestro base de datos principal. Este artículo hará hincapié en los servicios que pudieran almacenar datos en Cloud computing. Desde un documento de Google Docs, hasta una tarjeta de visita que transmitamos por iCloud.
Lo primero que debemos tener en cuenta cuando contratemos servicios de cloud computing es si estamos sometidos a la legislación sobre protección de datos porque manejamos datos personales, es decir, si tratamos con «cualquier información concerniente a personas físicas identificadas o identificables» (artículo 3 LOPD), pues si estamos en este caso somos los responsables de esos datos y, aunque el prestador de servicios de cloud computing esté a la otra punta del planeta, se aplica la legislación española, es decir, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal RDLOPD).
Esto es así porque el que presta estos servicios en la nube es lo que en nuestra legislación se llama «encargado del tratamiento», es decir aquellas personas físicas o jurídicas que nosotros (responsables de los datos) contratamos para que puedan acceder a esos datos y tratarlos conforme a las instrucciones que les demos. Esta prestación de servicios debe materializarse mediante un contrato en el que se especifiquen claramente que los datos deberán utilizarse únicamente para lo que se contrata, que no se pueden comunicar a terceros y que cumplen las medidas de seguridad a las que obliga nuestra legislación.
Garantizar el tratamiento de los datos mediante un contrato debidamente negociado no reviste mayor problema cuando se trata, por ejemplo, de una empresa (responsable del tratamiento de datos) y la asesoría que le realiza las nóminas de sus trabajadores (encargado del tratamiento), el problema es que cuando contratamos los servicios de cloud computing no podemos negociar ninguna cláusula, pues se trata de contratos de adhesión (como los que firmamos cuando abrimos una cuenta con nuestro banco) y, por tanto, debemos ser especialmente cuidadosos cuando le damos a «aceptar» los términos de uso, ya que la responsabilidad de los datos personales sigue siendo nuestra.
¿Qué debemos tener en cuenta, entonces, a la hora de contratar los servicios de «la nube»?:
– Dónde se encuentran nuestros datos: Esto es importante porque si se encuentran en países del Espacio Económico Europeo se ofrecen mayores garantías que los que están fuera de él. Si están fuera, habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país, deberán proporcionarse garantías jurídicas adecuadas, es decir, que ofrezcan un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos (AEPD). Las empresas ubicadas en EEUU que hayan suscrito los principios de Puerto Seguro también proporcionan garantías jurídicas adecuadas. Si hay transferencia de datos con garantías adecuadas será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la AEPD para su inscripción en el Registro General de Protección de Datos, si no necesitará autorización del Director de la AEPD.
– Si intervienen o no terceras empresas: Si el proveedor no presta por sí todos los servicios (que suele ser lo normal), necesitará nuestro consentimiento expreso. Esta cláusula de consentimiento expreso constará seguramente en las condiciones de uso, es decir, que al «aceptar» estamos consintiendo, por lo que debemos saber, aunque sea de forma genérica, qué servicios se podrán subcontratar y tener en cuenta lo que hemos expuesto anteriormente.
– Si se cumplen las medidas de seguridad que son exigibles: Medidas que garanticen la integridad de los datos, que eviten accesos no autorizados y que garanticen recuperar la información en caso de que se produzcan incidencias de seguridad.
– Si se garantiza la confidencialidad utilizando los datos sólo para los servicios contratados.
– Si se garantiza la recuperación de los datos a la finalización del servicio o resolución del contrato: Es importante que comprobemos que podemos exigir la portabilidad de la información a nuestros propios sistemas o a otro proveedor de cloud computing cuando se considere inadecuada la intervención de algún subcontratista o la transferencia de datos a países que se estime que no aportan las garantías adecuadas y sobre todo es importante en el supuesto de que el proveedor modifique unilateralmente las condiciones del servicio.
– Debemos asegurarnos de que el proveedor no conserva los datos personales cuando se extingue el contrato, es decir, que garantice el borrado seguro cuando lo solicitemos y siempre que finalice el contrato. Una forma de asegurarnos es requerir una certificación de la destrucción.
– Si se garantiza su cooperación y las herramientas adecuadas para facilitar la atención de los derechos ARCO: Como responsables del tratamiento de datos debemos permitir el ejercicio de los llamados derecho ARCO (acceso, rectificación, cancelación y oposición) a los titulares de los datos. El proveedor de cloud computing debe garantizar su cooperación.
No olvidemos las infracciones que puede cometer el responsable de tratamiento de datos si incumple con sus obligaciones como tal. Como siempre desde Zinetik apelamos al sentido común: no es que no se pueda utilizar este tipo de servicios es que, antes de poner los datos a «viajar» a la nube nos preguntemos si realmente es necesario que TODOS los datos pasen a la nube o cifremos de forma segura nuestros datos antes de ese viaje.
