El Cloud Computing es un nuevo sistema de almacenamiento de la información cada vez más utilizado por empresas y profesionales, ya que no es necesario realizar inversiones en infraestructuras (servidores), si no que se utilizada la que pone a su disposición el prestador del servicio. Los problemas y riesgos en cuanto al uso de este sistema de almacenamiento surgen en el momento en que el prestador del servicio puede estar en cualquier lugar del mundo y en consecuencia el cliente desconoce la ubicación precisa de sus datos, no dispone del control de acceso a los mismos, actualización, borrado, etc… Los clientes deben conocer que aunque la información no esté físicamente en su poder, si la misma contiene datos de carácter personal, sigue siendo el responsable de cumplir con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
5. ¿Porqué está de moda el Cloud?
Reducir costes de inversión
Reducir costes de personal informático
Reducir costes de mantenimiento
Aceleración en implementación de servicios y aplicaciones
#cafeagm
www.agmabogados.com
3
10. Garantías contractuales
No es una cesión de datos:
El cliente que contrata el servicio sigue siendo responsable de la
información.
El prestador del servicio de Cloud Computing es el encargado del
tratamiento.
La contratación del servicio se realiza a través de un contrato de
prestación de servicios (art. 12 LOPD).
El contrato DEBE incluir las garantías que obliga la LOPD y el
Reglamento.
#cafeagm
www.agmabogados.com
2
11. Garantías contractuales
Contrato de adhesión:
Los más utilizados.
Para pequeñas empresas.
No exime de responsabilidad al responsable de los ficheros.
Contrato negociado en función a los datos que se van a tratar:
Condiciones de uso (finalidad, principio de Calidad) y acceso a los
datos.
Medidas de seguridad exigibles.
Posibilidades de subcontratación.
Localización de los datos.
Portabilidad y cancelación de los datos.
Supervisión.
#cafeagm
www.agmabogados.com
2
12. Riesgos del Cloud Computing
Falta de transparencia:
Es importante conocer QUÉ, QUIÉN, CÓMO y DÓNDE se lleva a cabo
el tratamiento de los datos que proporcionamos al prestador del servicio
de Nube (encargado del tratamiento art. 3.g) de la LOPD y art. 5.1.i) del
RLOPD).
Para valorar los riesgos y establecer los controles adecuados.
El prestador del servicio nos debe informar puntualmente de:
Dónde están ubicados los datos.
Si existen subcontratistas.
Medidas de seguridad aplicables.
Sistemas de control de accesos.
Falta de control:
#cafeagm
Las dificultades para conocer dónde están los datos, para acceder a los
mismos y/o para obtenerlos en un formato válido para traspasarlos a
otro servidor > dificulta el acceso a los datos por parte del responsable
del fichero y no le permite adoptar las medidas necesarias para
salvaguardarlos.
www.agmabogados.com
2
13. Consideraciones a tener en cuenta
a la hora de contratar servicios en
nube
Evaluar los tratamientos y el nivel de protección de los datos:
Evaluar qué tipo de datos podemos transferir a la nube.
Evaluar los beneficios/riesgos.
En la nube se puede almacenar cualquier dato, pero el responsable debe
decidir cuáles transferir.
Verificar las condiciones en las que se presta el servicio:
#cafeagm
Si ofrecen un adecuado cumplimiento de las normas de la LOPD.
Ubicación del tratamiento.
Existencia de subencargados.
Políticas de Seguridad.
Derechos del usuario.
Obligaciones legales del prestador del servicio.
Procedimientos de salida.
Procedimientos de retorno de datos.
Asegurar la portabilidad de los datos.
Comparar las características ofrecidas por varios proveedores:
A nivel de precios.
A nivel de garantías.
3
14. Consideraciones a tener en cuenta
a la hora de contratar servicios en
nube
Legislación aplicable:
Los datos y el encargado del tratamiento pueden estar en cualquier
lugar del mundo.
El cliente sigue siendo el responsable de los ficheros > se aplica la
legislación española. (arts. 5.1.q) y 20.2. del RLOPD y art. 3.d) de la
LOPD).
La legislación no se puede modificar contractualmente.
Se ha de suscribir siempre un contrato (Decisión 2000/520/CE) con los
requisitos establecidos por la LOPD art. 12 de la LOPD).
¿Cuáles son mis obligaciones como cliente?
#cafeagm
Sigue siendo el responsable del fichero > todas las obligaciones de la
LOPD.
Conocer a todas las personas (empresas) que intervienen en el servicio.
Los deben intervinientes ofrecen garantías suficientes para el
tratamiento de los datos.
www.agmabogados.com
4
15. Consideraciones a tener en cuenta
a la hora de contratar servicios en
nube
Importancia de la ubicación de los datos personales:
Las garantías deben ser como mínimo las exigidas por la LOPD.
Los países de la UE (garantías)> NO es TRANSFERENCIA DE DATOS
(art. 5.1.s del RLOPD).
Los países fuera de la UE > Registro General de la AEPD + empresas
de EEUU adheridas al Convenio “Safe Harbour”) > SÍ se considera
TRANSFERENCIA DE DATOS.
Si no están en ninguno de los supuestos anteriores > solicitar
autorización a la AEPD. (procedimiento previsto en arts. 137 a 140 del
RLOPD).
¿Qué medidas de seguridad son exigibles?:
#cafeagm
Evitar accesos no autorizados.
Recuperar la información en caso de incidencias de seguridad.
Medidas específicas establecidas en la LOPD para los diferentes niveles
de seguridad.
www.agmabogados.com
5
16. Consideraciones a tener en cuenta
a la hora de contratar servicios en
nube
¿Cómo asegurarnos de que se cumplen las medidas de
seguridad?
El proveedor de servicio debe permitir verificar las medidas de seguridad.
Solicitar certificados de seguridad adecuados.
Auditorías de seguridad.
El proveedor de servicio debe informar sobre las medidas de seguridad según
el nivel de protección de los datos (art. 79 y ss del RLOPD).
Solicitar información sobre el cifrado de los datos.
¿Qué compromiso de confidencialidad debo exigir?
#cafeagm
El proveedor debe comprometerse a garantizar la confidencialidad de los
datos.
Informar al cliente en caso de subcontratación de servicios.
Informar al cliente en caso de solicitud de información por parte de
autoridades del país.
El proveedor debe informar a su personal sobre la obligación de
confidencialidad.
www.agmabogados.com
6
17. Consideraciones a tener en cuenta
a la hora de contratar servicios en
nube
¿Cómo garantizar la recuperación de los datos? (portabilidad):
El proveedor ha de obligarse a entregar toda la información al cliente en la forma
que se acuerde.
El cliente debe poder almacenar la información en sus sistemas o en otra nube.
El plazo de recuperación de la información.
Integridad de la información.
Sin costes adicionales.
Posibilidad de exigir la recuperación de los datos cuando:
Los datos se trasladen a países que no ofrezcan las suficientes garantías.
Intervenga algún subcontratista que no ofrezca las suficientes garantías.
¿Cómo asegurarse de que se borran los datos?
Exigir una certificación del borrado.
El proveedor debe garantizar el borrado seguro de los datos:
Cuando lo solicite el cliente (derechos de Cancelación).
Cuando finalice el contrato.
#cafeagm
Garantizar el ejercicio de los derechos ARCO.
7
18. ¿Preguntas?
Gracias por su atención
Araceli Beltrán
Ana García
Josep Díaz
abeltran@agmabogados.com
93.487.11.26
agarcia@agmabogados.com
93.487.11.26
josep.diaz@serviciohelpdesk.com 902.50.00.16
www.agmabogados.com
www.serviciohelpdesk.com