Protección de datos en Cloud: LOPD y la nube

Abogado TICS

La Protección de datos en cloud se plantea como uno de los grandes retos a los que debe responder la nube para poder cumplir con las exigencias de nuestra legislación. La nube o cloud comienza a ser una herramienta cada vez más útil para las empresas. No sólo permite compartir la información y datos que maneja nuestra empresa en tiempo real, sino que las herramientas cloud si no que además habilita un tratamiento global de la misma lo que puede aportar ventajas técnicas (trazabilidad de procesos), ventajas estratégicas (facilitar la toma de decisiones directivas) y ventajas económicas (ahorro de costes de gestión organizativa), además aporta flexibilidad ajustando el uso a la demanda de cada momento. Por ello podemos decir que las carácteristicas básicas de cualquier servicio de cloud serán la escalabilidad, la virtualidad y la ubicuidad.Abogado Protección de datos

Protección de datos en Cloud Computing

A pesar de las ventajas técnicas y económicas que tiene la nube para organizar la actividad empresarial, sin embargo encontramos importantes incertidumbres cuando este servicio lo ponemos en relación a la necesaria protección de los datos de carácter personal que impone la LOPD. Como señala Jesús P. López Pelaz, “si queremos migrar a la nube los procesos de información de una empresa y en sus bases de datos hay algunos que tienen el carácter de personal, tendremos que valorar con gran cuidado la operación para poder garantizar la adecuación del tratamiento a las prescripciones de la Ley Orgánica de Protección de Datos y su reglamento”.

La protección de datos en cloud se convierte así en un elemento importantisimo a valorar a la hora de implantar un sistema de nube en la empresa, en el que los abogados deberán trabajar con los técnicos informáticos para lograr la plena adecuación a la ley.

Por un lado el responsable del tratamiento de los datos alojados en la nube seguirá siendo la empresa titular del fichero. Deberá por ello asegurar las garantías de protección de los datos. Por su parte el proveedor de cloud tendrá la consideración de encargado del tratamiento debiendo por ello estar identificado en el documento de seguridad del responsable del tratamiento y cumplir la normativa en materia de protección de datosAbogado LOPD

Abogados Protección de Datos

El encargado del tratamiento o proveedor de servicios cloud puede tener sus máquinas en España, en cuyo caso le será plenamente de aplicación lo dispuesto por la LOPD. También es posible que se encuentre radicado en el extranjero en alguno de los paises de la Unión Europea en cuyo caso deberá sujetarse a la legislación del pais dónde se realiza el tratamiento. Pero no es improbable (posiblemente sea lo más frecuente) que el proveedor de nube se encuentre fuera de la Unión Europea en cuyo caso la migración de nuestros datos al cloud debe necesariamente tratarse como una cesión internacional de datos (con todo lo que ello conlleva, incluyendo la comunicación previa a la AEPD).

El elemento fundamental en estas situaciones será asegurar al responsable del fichero que no responderá por las incidencias que pueda tener el encargado de su tratamiento. La delegación en otros de la organización del servicio de cloud sólo implicará la limitación de responsabilidad del empresario titular del fichero cuando haya concertado con el encargado un contrato que reuna todos los requisitos del artículo 12 de la Ley Orgánica de Protección de Datos y del artículo 20 de su reglamente.

Si el responsable del fichero contrata un servicio en la nube sin atender a todas las particularidades que deben identificarse en la delegación a un encargado del tratamiento, el traslado de los datos al cloud será calificado como una cesión de datos y no como un encargo de su tratamiento. Si la empresa no tenía consentimiento expreso de los usuarios para ceder esos datos objeto de tratamiento, la conducta será ilícita y por ello sancionable por la Agencia Española de Protección de Datos.Abogados Internet

Protección de Datos en la nube

El empresario que es responsable del tratamiento debe tener la máxima diligencia en asegurar que el tratamiento se realizará conforme a lo establecido en la LOPD. La propia decisión empresarial de migrar los datos a la nube para beneficiarse de sus ventajas, hace recaer sobre el que la adopta la carga de optar por aquella alternativa técnica que asegure un tratamiento adecuado y seguro.

El responsable del fichero es garante de los derechos fundamentales de sus clientes para la protección de sus datos personales. A la hora de decidir una migración a la nube, el empresario debe incluir, junto a los parámetros económicos y técnicos, una valoración jurídica que permita identificar la idoneidad del procedimiento y prevenir sanciones de la AEPD. Para ello será primordial contar con abogados mercantilistas expertos en nuevas tecnologías e informática que asesoren sobre Protección de datos en cloud.

Si su empresa necesita asesoramiento en materia de protección de datos o nuevas tecnologías puede usar este formulario para pedir cita y contactar con el Bufete Abogado Amigo.

Compártelo ahora...Share on Facebook0Share on Google+0Tweet about this on TwitterShare on LinkedIn9

9 Comentarios en “Protección de datos en Cloud: LOPD y la nube”

  1. Hola Francisco,
    Bienvenido como siempre a este blog.
    Los contratos establecidos por los grandes operadores son contratos de adhesión que no admiten modificación o adecuación alguna. La mayoría de ellos cumplen con los requisitos de seguridad descritos en “safe harbour” pero no con los pormenores que establece el artículo 12 de LOPD para constituirles como encargados de tratamiento y en consecuencia traspasarles la responsabilidad por la custodia y tratamiento de nuestros datos.
    De esta forma, somos diligentes al usar estos servicios (puesto que son prestadores safe harbour)pero el encargado sigue respondiendo de el tratamiento que de los mismos se haga.
    Existen alternativas nacionales a través de cloud privados por un lado y por otro lado existe la posibilidad de ordenar nuestras bases de datos antes de subirlas a Cloud, procediendo a ubicar las tablas que contienen datos en un servidor dedicado o en un cloud privado nacional, y todas aquellas tablas que no contienen datos personales en cloud sin problema.
    Saludos

  2. Como siempre en la vanguardia, creo que más que interesante este artículo es indispensable.

    La explicación es todo lo sencilla que el tema de internet permite que lo sea, pero no se si me plantea más dudas que inquietudes.

    El problema fundamental es de un lado el desconocimiento absoluto de donde se ubica el servidor en el que tenemos alojados nuestros datos ¿Cómo puedo saberlo?.

    Le agradecería que nos lo indicara, al menos en los servidores más habituales como google, icloud y el novedosísimo Windows Azzure.

    Ni que decir tiene que me gustaría saber que servicios en la nube de estas características hay en España (aunque dudo que los haya, o al menos con las prestaciones de los tres que he indicado).

    Pasando al tema internacional (pues supongo que es lo más habitual) ¿Cuál es el proceso de cesión internacional de datos? ¿cabe verdaderamente la posibilidad de hacer firmar algo a los grandes gigantes que cito? ¿Qué seguridad real ofrecen de protección de nuestros datos?.

    Al menos en el campo del derecho, en el que me muevo, hay: de un lado un enorme desconocimiento sobre la materia (con poco más que vuestra honrosísima excepción) y de otro una irrupción de la NNTT frente a la que no creo que muchos juristas estemos preparados (pues si hay algo que caracteriza al que trabaja en el derecho es que trabaja con datos muy sensibles).

    Como siempre agradecidísimo por vuestra labor, y por esta entrada

  3. Muy interesante el post Jesús.
    Efectivamente la empresa que quiera portar sus datos al cloud, deberá tener muy presente la normativa de protección de datos, pues las obligaciones marcadas para proteger la privacidad puede poner en jaque a la empresa respecto al cumplimiento legal.
    Elegir el proveedor de cloud es una decisión importante, que no debe pasar inadvertida en los cambios del sistema de información de la empresa, pues como muy bien señalabas la “diligencia” toma gran importancia en estas elecciones, a efectos de responsabilidad como responsables de los datos.
    El cloud permite al cliente reducir muchos costes pero ¿bajo qué precio? El de la privacidad… La cuestión es saber elegir bien, ser diligente y garantizar una “tranquilidad”.
    Saludos!!

  4. Pingback: Bitacoras.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y ajenas para añadir funciones (redes sociales) y elaborar estadisticas anónimas (Google). Navegando acepta nuestra Politica de Cookies..

ACEPTAR
Aviso de cookies