LA “NUBE” O CLOUD COMPUTING. Seamos Diligentes…
Rafael Varela Tabarés
Consultor LOPD/LSSI.
Eurovima Consulting.
Miembro de la ACEF.
Parece que los servicios de Cloud Computing se van imponiendo en nuestra sociedad, que ya nadie puede vivir sin sus ventajas, que es el futuro en el presente. Gracias al desarrollo de las telecomunicaciones, a la mayor velocidad en la transmisión de información, a la posibilidad de aplicar costes reducidos en nuestro negocio y emplear los recursos de manera eficiente, podemos utilizar los servicios de Cloud Computing desde donde, como y cuando lo necesite, ya que está disponible en la nube de Internet sin conocimientos (o al menos sin ser expertos) y pagando únicamente por el consumo efectuado o pactado.
En definitiva un servicio económico, flexible, 100% disponible y 100% seguro; ¿seguro?
Creo que nos conviene saber qué implicaciones, desde el punto de vista LOPD, suponen estos servicios, que como hemos podido comprobar a lo largo del último año han acaparado jornadas, talleres y conferencias. Entre otros, la Sesión Anual de la Agencia Española de Protección de Datos (AEPD) que le dedicó parte de su tiempo, la recientemente organizada por la Asociación Profesional Española de la Privacidad, a la que como asociado de APEP asistí y que contó con la participación especial de la AEPD o la celebrada por la Agencia de Protección de Datos de la Comunidad de Madrid, en la que se abordaron cuestiones muy cercanas como las transferencias internacionales de datos y ámbito territorial de aplicación.
Primero vamos a definir el servicio de Cloud Computing o computación en la nube como el suministro de servicios facilitados por un tercero (prestador del servicio) para el alojamiento de información de datos, aplicaciones, infraestructura y demás recursos para poder acceder, tratar y operar con la información y datos almacenados. Los servicios de Cloud Computing, vienen suscitando discusiones sobre tres cuestiones, entre otras, que afectan al servicio frente a la Ley de Protección de Datos:
1. La poca claridad respecto al lugar de almacenamiento de los datos en servicios de hosting.
2. Las dudas en las garantías de seguridad de los mismos.
3. La subcontratación de los servicios (identificar y autorizar).
Para la Ley de Protección de Datos es determinante establecer en qué ubicación física concreta (no digamos ya si la ubicación cambia) se van a alojar los datos personales almacenados en la nube. Dependiendo de que se encuentren en España o en otro país habrá que establecer si la cesión de los mismos constituye una transferencia internacional de datos (TID) o no, y en función de ello se darán unas consecuencias legales u otras. ¡Caramba! y ¿cómo hago ese control?
Tranquilos. La TID, jurídicamente hablando, es una de las situaciones más complejas de regular, lo que origina que el Cloud Computing sea considerado en materia de protección de datos de carácter personal un modelo a regular de manera especialmente cuidadosa, sobre todo con el auge que está viviendo. Habrá que esperar a que caigan las primeras sanciones de la AEPD y con ello se nos irán disipando las dudas (aunque parece que en la AEPD existe voluntad de buscar soluciones que garanticen los derechos, con medidas alternativas y equivalentes a las que exige la Ley).
Para la Ley de Protección de Datos es determinante establecer en qué ubicación física concreta se van a alojar los datos personales almacenados en la nube. Dependiendo de que se encuentren en España o en otro país habrá que establecer si la cesión de los mismos constituye una transferencia internacional de datos (TID) o no
Recordemos que este servicio supone que dicho prestador se convierta en encargado del tratamiento del cliente, debiendo suscribirse el contrato conforme el artículo 12 de la LOPD. Contrato que ha de recoger que el encargado deberá adoptar las medidas de seguridad que exige la normativa de protección de datos con motivo del procesamiento de los datos responsabilidad del cliente (medidas establecidas en el artículo 82 del Reglamento de Desarrollo de la LOPD). ¡Caramba! y eso me lo firmarán a mí, ¿a medida?
Si esto les parece poco, señores, recuerden que la normativa establece que hemos de ser “diligentes” a la hora de elegir a nuestro proveedor de servicios y por tanto es nuestra responsabilidad elegir al prestador adecuado. Si bien será difícil demostrar/argumentar dicha diligencia, es decir, aunque exista incumplimiento de contrato, tendré que demostrar que he sido diligente al elegir al prestador. ¡Caramba! y eso ¿cómo lo sé o demuestro?
No hablemos ya de que se aconseja que el contrato incluya la posibilidad de solicitar la realización de auditorías al encargado (cuestión muy debatida sobre su posibilidad de aplicación “real”) o sobre el lugar de almacenamiento físico de los datos y su presunta opacidad, siendo importantísimo que, de manera previa al inicio del servicio de Cloud Computing, el proveedor ponga en conocimiento del cliente la ubicación física del mismo, o que a menos que el responsable lo autorice, el encargado del tratamiento no podrá comunicar los datos a un tercero ni subcontratar los servicios…
En definitiva, para que me pregunto esto, si todo el mundo está en la nube y la usa, ¡si es el futuro!