Guías de la Agencia Española de Protección de Datos para orientarnos en el Cloud Computing

por

publicado el 26 abril 2013

Categorías: Agencia Proteccion Datos / Cloud Computing / LOPD / Normativa / Protección de Datos

En el desarrollo de la 5ª Sesión Abierta de la Agencia Española de Protección de Datos, la Agencia ha informado sobre la aparición de 2 guías más que recomendables con orientaciones para el cumplimiento de la normativa de protección de datos en lo que a servicios en la nube (o cloud computing) se refiere. Las guías están desarrolladas según la visión de negocio, esto es una guía está orientada hacia los prestadores de servicios de Cloud y otra orientada a los clientes de estos servicios.

La guía con orientaciones hacia los prestadores de servicios establece recomendaciones, que por otra parte ya habíamos señalado, pero que conviene recordar, como por ejemplo las figuras de responsable de responsable de fichero y encargado de tratamiento:

En consecuencia, el cliente que contrata servicios de cloud computing, al tomar decisiones sobre la contratación de dichos servicios, el mantenimiento o no de sus propios sistemas de información, la modalidad de nube y la tipología de servicios que contrata y la elección del proveedor en función de las condiciones ofrecidas, sigue manteniendo la condición de responsable del tratamiento de los datos sobre los que se aplicarán los citados servicios. Esta responsabilidad, al derivarse de la aplicación de la ley, no puede alterarse contractualmente. Por su parte, el proveedor de servicios de cloud computing que implican el acceso a datos personales, aunque sea una gran corporación que se encuentra en una posición prevalente sobre sus clientes, será un prestador de servicios, es decir, un encargado del tratamiento en la terminología de la citada normativa.
Asimismo la guía establece unas garantías que se deben establecer en este tipo de contratos:
  • La identificación de los servicios y la empresa a subcontratar informando de ello al cliente (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
  • Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas.
  • La celebración de un contrato entre el prestador de servicios de cloud computing y los subcontratistas con garantías equivalentes a las incluidas en el contrato con el cliente.

En cuanto a la guía de recomendaciones orientadas al cliente, la misma establece unas pautas, con preguntas incluídas que el cliente debe realizarse para la elección del prestador de cloud que le conviene, preguntas del tipo: ¿cuál es la legislación aplicable? ¿cuáles son mis obligaciones como cliente? ¿donde están ubicados los datos? ¿es relevante esa ubicación?, etc.