Cloud Computingy

Ley de protección de datos

WEBINAR SOBRE GESTIÓN DOCUMENTAL EN CLOUD COMPUTING: BENEFICIOS Y OPCIONES

30 de abril de 2014

Relación entre Cloud Computing y Protección de Datos en España

Desde el momento en que una empresa española utiliza Cloud Computing para procesar, almacenar y gestionar documentación que incluye datos personales de sus clientes y usuarios, la implantación del servicio debe ser realizada conforme a los criterios y garantías que vienen determinadas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, reglamentos que las desarrollan y otras leyes y disposiciones complementarias que estén implicadas según cada caso.

LOCALIZACIÓN DE LOS DATOS

PORTABILIDAD DE LA INFORMACIÓN

Sujetos que intervienen en la contratación de servicios de CLOUD COMPUTING

Proveedor de Servicios Cloud

Clientes de Servicios Cloud

Encargado del tratamiento de la normativa aplicable en los servicios que prestan.

Responsable del tratamiento de los datos sobre los que se aplicarán los servicios de cloud computing contratados (empresa o profesional)

Como la responsabilidad de que los servicios de cloud computing cumplan con la normativa de protección de datos se deriva de la propia aplicación de la ley, dicha obligación que corresponde al Cliente no se puede alterar contractualmente.

AGPD ha puesto en marcha una Política preventiva para cumplimiento de la LOPD que garantice que los clientes contratan proveedores cuya oferta de servicios cloud minimice los riegos de incumplimiento. Se ha trducido en los siguientes documentos.

Guía para clientes que contraten servicios de Cloud Computing (Clientes)

Orientaciones para prestadores de servicios de Cloud Computing (Prestadores)

Documentación de referencia: AGPD y Cloud Computing

Diligencia en la Contratación

El Cliente tiene que asegurarse que el proveedor de servicios cloud cumple con la normativa de datos personales. Se trata de la “obligación legal de diligencia para velar que el encargado del tratamiento cumple con el imperativo legal existente en materia de protección de datos (art. 20 sobre Relaciones entre el responsable y el encargado del tratamiento del Reglamento que desarrolla la LOPD).

Requerimientos de información al Proveedor por parte del Cliente

Modalidad de Nube Modalidad de contratación Condiciones de la portabilidad de la información Condiciones de la localización de los datos (determina la ley aplicable en cada caso) Medidas de seguridad Equipo Humano que realiza el tratamiento de los datos Controles de acceso a la información

El Proveedor para ser considerado transparente, debe facilitar información al Cliente sobre los mecanismos concretos que permiten cumplir con lo requisitos de la normativa de protección de datos. Gracias a esta comunicación se evita Falta de Transparencia y Falta de Control.

Transparencia en la Contratación

Cuando Cliente y Prestador de Servicios actúan con Diligencia, uno asegurando el cumplimiento de la normativa y el otro facilitando la información que atestigue su cumplimiento, se produce la aplicación del

Principio de TransparenciaPara asegurar la transparencia el Cliente se pueden emplear estas preguntas1. ¿Qué debo analizar y tener en cuenta antes de contratar servicios de cloud computing?2. Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un

servicio de cloud?3. ¿Cuál es la legislación aplicable?4. ¿Cuáles son mis obligaciones como cliente?5. ¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?6. ¿Qué garantías se consideran adecuadas para las transferencias internacionales de datos?7. ¿Qué medidas de seguridad son exigibles?8. ¿Cómo puedo garantizar o asegurarme que se cumplen las medidas de seguridad?9. ¿Qué compromisos de confidencialidad de los datos personales debo exigir?10. ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable?

(portabilidad)11. ¿Cómo puedo asegurarme de que el proveedor de cloud no conserva los datos personales si se

extingue el contrato?12. ¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelacióny oposición (derechos ARCO)?

Implantación de un Servicio Cloud Computing: tipos de Nubes

Desde el punto de la aplicación de la Normativa de Protección de Datos:

Nube Pública: El proveedor de servicios de cloud proporciona sus recursos de forma abierta a entidades heterogéneas, sin más relación entre sí que haber cerrado un contrato con el mismo proveedor de servicio.

Nube Privada: cuando una entidad realiza la gestión y administración de sus servicios en la nube para las partes que la forman, sin que en la misma puedan participar entidades externas y manteniendo el control sobre ella. Una Nube Privada no necesariamente se implementa por la misma entidad que la utiliza, sino que puede contratarse a un tercero que actuará bajo su supervisión y en función de sus necesidades. Las entidades que optan por las Nubes Privadas son aquellas que son complejas y necesitan centralizar los recursos informáticos y, a la vez, ofrecer flexibilidad en la disponibilidad de los mismos, por ejemplo, administraciones públicas y grandes.

Otros formatos: Soluciones intermedias respecto a las dos anterioreso Nubes Híbridas, en las que determinados servicios se ofrecen de forma pública y

otros de forma privada.o Nubes Comunitarias, cuando dichos servicios son compartidos en una comunidad cerrada.o Nubes Privadas Virtuales, cuando sobre Nubes Públicas se implementan garantías

adicionales de seguridad.

Implantación de un Servicio Cloud Computing: tipos de Contratos

Contratos de Adhesión (cláusulas contractuales cerradas): El proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor). Contrato Negociado: El Cliente tiene la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación española y a las restricciones que esta regulación implica.

Garantías que deben incorporarse al Contrato

Contratos de prestación de servicios, tienen que reflejar lo expuesto en el art. 12 de la LOPD: El encargado del tratamiento (proveedor) únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento (cliente), que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Cumplido el contrato, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. En el caso de que el encargado del tratamiento (proveedor) destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento (cliente), respondiendo de las infracciones en que hubiera incurrido personalmente.

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado ya provengan de la acción humana o del medio físico o natural No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Garantías que deben incorporarse al Contrato

Art 9, sobre Seguridad de Datos

Garantías que deben incorporarse al Contrato

Portabilidad La garantía de que el Cliente pueda recuperar íntegramente los datos personales que están albergados en el proveedor de servicios o que estos sean transferidos a un nuevo proveedor de servicios cuando finalice la prestación contractual en el momento que finalice la prestación contractual. El contrato debe incluir soluciones específicas para garantizar esa portabilidad, adaptadas a las distintas modalidades de cloud y al tipo de servicios que se ofrezcan.

Prestación de Servicios por terceras empresas subcontradas La identificación de los servicios y la empresa a subcontratar informando de ello al Cliente (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos). Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas. La celebración de un contrato entre el prestador de servicios de cloud computing y los subcontratistas

con garantías equivalentes a las incluidas en el contrato con el cliente.

Estas garantías también han de proporcionarlas aquellas compañías que actúan como partners de

otros proveedores de cloud computing.

Reseller, Agregadores de servicios cloud, cloud builders, proveedores de aplicaciones

Recomendaciones en materia contractual de la LOPD

Revisar y Adaptar los contratos teniendo en cuenta los criterios recogidos en la guía de la AGPD. Informar a los clientes, si no los cumplen, de la necesidad de adoptar estas garantías.

Transferencias Internacionales de Datos: garantías para Clientes y Usuarios

Cesiones de datos a terceros países que implica la prestación de servicios cloud. Mecanismos para permitir que las subcontrataciones relacionadas con transferencias internacionales se gestionen con fluidez, asegurando que el cliente responsable tiene información suficiente sobre los subcontratistas, o potenciales subcontratistas, y mantiene la capacidad de tomar decisiones.

Las transferencias de datos no tendrán carácter internacional bajo este marco legal cuando se lleven a cabo en la Unión Europea o dentro del Acuerdo sobre el Espacio Económico Europeo.

Derechos ARCO: garantías para Clientes y Usuarios

Derechos de Acceso, Rectificación, Cancelación y Oposición (art. 15, 16 y 17 de la LOPD). El Cliente en calidad de responsable del tratamiento de los datos personales es el responsable directo que tiene que garantizar el ejercicio en los plazos legales de los Derechos ARCO a los interesados. Para garantizar el ejercicio de los Derechos ARCO es posible que precise la colaboración del Prestador de Servicios, el cual deberá:

Tener prevista dicha colaboración en su oferta de servicios. Facilitar información al cliente relacionada con dicha colaboración

Contratación con Administraciones Públicas

Obligaciones legales cuando el Cliente es la Administración Pública LOPD Disposición adicional vigésimo sexta sobre “Protección de datos de carácter personal” del Real

Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, texto que reproduce esencialmente las obligaciones descritas en la LOPD, incluidos los supuestos de subcontrataciones.

Ley 11/2007, de 22 de junio, de Acceso electrónico de los Ciudadanos a los Servicios Públicos y el Real Decreto 1671/2009 que la desarrolla parcialmente.

Ofrecer servicios adaptados al Esquema Nacional de Interoperabilidad (RD 3/2010 y 4/2010, de 8 de enero).

Cuando al realizarse transferencias internacionales de datos, autoridades de terceros países requieran acceder a la información, el Proveedor de Servicios Cloud debe informar sobre esta posibilidad y sobre las opciones que las Administración que contrate los servicios puede adoptar sobre ella.

MUCHAS GRACIAS!

Correo-e: amaciasalegre@dokumentalistas.com

Twitter: @amaciasalegre

Web: http://www.dokumentalistas.com

Slideshare: http://www.slideshare.net/adrianmacias

Linkedin: http://es.linkedin.com/in/adrianmaciasalegre