La legislación de protección de datos con respecto al Cloud Computing.

Protección de datos y Cloud Computing

Cloud computing y protección de datosEl cloud computing es un tema de gran relevancia actualmente. Por esto la Agencia Española de Protección de datos ha elaborado dos guías explicativas para los clientes y los prestadores de los servicios sobre los aspectos más importantes del mismo.

Lo primero que resaltan estas guías es el concepto de los sujetos que intervienen en un contrato de Cloud Computing. Estamos hablando del responsable del fichero y del encargado del tratamiento o lo que es lo mismo el cliente y el proveedor. Este tipo de contratos se regirá por la ley del cliente.

Transparencia en la información

Otro de los temas que tratan estas guías es la diligencia debida por los clientes. Esto hará que el cliente establezca en el contrato la obligación de información para conocer el alcance de la protección de datos personales. La transparencia es otro de los asuntos tratados por estas guías entendida de cara a la información que transmite el prestador de servicios.

Estos folletos también hablan de los riesgos del cloud computing. Existe principalmente dos. En primer lugar nos encontramos con la falta de transparencia ya que muchas veces no se conoce el tratamiento que se va a dar a los datos que se dejan en la nube. La falta de control se puede materializar en un desconocimiento de la ubicación de los datos.

Costes y beneficios de externalizar servicios

Otros aspectos importantes que se resaltan en estas guías son evaluar el coste y el beneficio de externalizar teniendo en cuenta los riesgos que es asumen al contratar el cloud computing. Además deberá tener en cuenta todas las condiciones del servicio y los proveedores del mismo.

Para seguir hay que comentar el responsable tiene que enterarse si en la operación de cloud computing intervienen terceras personas para tener en cuenta diversos aspectos. En primer lugar será él el que debe autorizar que participen estas empresas marcando los límites de esta colaboración. Esto se traduce en una obligación de información por parte del prestador del servicio. Las garantías jurídicas que ofrecer los subcontratistas deben ser iguales a las que se firmaron entre el contratista y el cliente.

Puntos básicos del contrato entre contratista y subcontratista.

  • Si la empresa encargada del tratamiento es de fuera del espacio económico europeo se establecerán garantías suficientes. Será suficiente que se inscriba en la notificación de la Agencia Española de Protección de Datos.
  • Si una autoridad de un tercer país requiere información, el cliente deberá ser informado salvo prohibición legal.
  • El proveedor deberá poner en conocimiento del cliente un plan de seguridad para que la confidencialidad, integridad y disponibilidad de los datos queden garantizadas.
  • Si se decide que un tercero realice una auditoría del punto anterior, se deberán conocer tanto la empresa como los estándares que seguirá.
  • Si ocurre alguna incidencia con la seguridad de los datos, el cliente debe ser informado.
  • Se deberá tener en cuenta la posibilidad de cifrar los datos.
  • Debe haber una garantía de confidencialidad de los datos.
  • El proveedor tiene la obligación de garantizar que, cuando el cliente desee resolver el contrato, puede entregar toda la información en el soporte convenido para su almacenamiento por parte del cliente. Esto puede solicitarlo el cliente si considera que el subcontratista o el país en el que están los datos no ofrecen las garantías obligadas.

El cliente deberá facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición como responsable del tratamiento.

Fuente: Protección de datos y Cloud Computing  (Negocios bajo control)