La Consulta Pública de la Agencia Española de Protección de Datos en relación con el Cloud Computing
Por Rafael García del Poyo – Abogado. Socio Director del Departamento de Derecho de las Tecnologías de la Información de “CREMADES & CALVO-SOTELO”
La Agencia Española de Protección de Datos ha puesto en marcha una Consulta Pública sobre protección de datos personales en el entorno de “Cloud Computing”. En una nota informativa publicada en su página web el pasado día de los Santos Inocentes, la Agencia invita a todas las entidades públicas y privadas que utilizan o mantienen intereses en los sistemas de Computación en Nube a aportar opiniones y experiencias referidas a la aplicación práctica de estos servicios en España.
La aplicación y la adecuación al entorno Cloud de la normativa sobre protección de datos personales actualmente vigente en España se ha convertido en una materia de estudio de especial importancia. En paralelo, también está siendo analizada por parte de diversas autoridades e instituciones nacionales e internacionales. Es en este contexto en el que se enmarca esta iniciativa de la Agencia, la cual no cuenta con antecedentes similares pero que está siendo valorada muy positivamente por parte de los operadores y usuarios de estos servicios.
Resulta evidente que en el marco de la prestación de estos “servicios de computación en nube” o de Cloud se suscitan importantes interrogantes en materia de protección de datos personales, en especial, sobre qué garantías resultan aplicables y cuáles son jurídicamente exigibles.
Para que se produzca una adecuada prestación de servicios en la nube, resulta imprescindible que el prestador de los mismos no sólo tenga acceso a determinada información de la compañía, sino que normalmente conlleva el encargo de su almacenamiento. En ese caso, la ubicación física de la información (incluidos los datos personales) se traslada desde las instalaciones de la empresa a los servidores del prestador de servicios de Cloud. En cualquier caso, el prestador de servicios de Cloud será el encargado de velar por la seguridad de la información, por lo que toda empresa que se halle en la tesitura de decidir acerca de contratar unos u otros servicios prestados en la nube y en qué condiciones hacerlo, habrá de tener muy en cuenta un aspecto fundamental: ¿de qué modo se preservará la privacidad de los datos personales y la información de la compañía?
La pérdida de control directo sobre tal información por parte del responsable del fichero comporta en todo caso un riesgo, cuya cobertura debe asegurarse por vía contractual, particularmente, mediante la negociación del contrato que fije las condiciones en que debe prestarse el servicio de Cloud Computing.
Como decimos, la forma de entrega de información empresarial a un tercero dependerá del alcance o de las funcionalidades Cloud contratadas. Sin embargo, el acceso por parte de un tercero a esa parte de la información de la empresa que constituyen los datos de carácter personal, a nuestro juicio, se enmarca en el supuesto de “Acceso a los datos por cuenta de tercero”, contemplado en el artículo 12 de la Ley Orgánica de Protección de Datos de Carácter Personal. Un acceso a los datos en estas circunstancias no requerirá el consentimiento del afectado (esto es, de la persona cuyos datos fueron recabados) para que el acceso en cuestión se produzca en condiciones de perfecto cumplimiento de la normativa aplicable, pues tal acceso resulta necesario para la prestación de un servicio al responsable del fichero de datos (en este caso, la compañía beneficiaria de los servicios de Cloud).
Sin embargo, el hecho de que tal acceso no requiera el consentimiento del afectado no exime de la obligación de firmar un contrato de encargo de tratamiento en el que se establecerán las condiciones en que el tratamiento de los datos tendrá lugar y la finalidad para la que se destinarán los mismos, o alternativamente, se deberán contemplar con detalle las condiciones del encargo en el propio contrato de prestación de servicios de Cloud. Del mismo modo, deviene fundamental asegurarse de que el prestador de servicios de Cloud pondrá en funcionamiento las medidas de seguridad necesarias para proteger el acceso a los datos en cuestión; medidas de índole técnica y organizativa tendentes a garantizar la seguridad e integridad de los datos, que impidan su alteración, pérdida, tratamiento o acceso no autorizado y que deben ser en todo caso acordes con la naturaleza de los datos que son objeto de tratamiento.
Finalmente, conviene tener presente que los servicios Cloud se prestan a menudo mediante el traslado de datos personales a servidores que pueden estar ubicados en el extranjero. He aquí otro aspecto importante que debe considerarse en el momento de negociar un contrato de servicios de Cloud pues, en función de las condiciones en que tal movimiento internacional de datos vaya a producirse, las implicaciones para las partes serán variadas. Así, en aquellos casos en los que la transferencia internacional de datos tenga como destino un Estado Miembro de la Unión Europea, o un Estado respecto del cual la Comisión Europea haya declarado que garantiza un nivel de protección adecuado, no será necesaria la expresa autorización del Director de la AEPD (sin perjuicio de la notificación preceptiva a la misma por la cual se ponga en su conocimiento que se va a producir esa transferencia internacional de datos). En otros supuestos, resultará preceptiva la autorización del Director de la Agencia de Protección de Datos y la comunicación a la Agencia respecto de tal transferencia de datos.
FUENTE:diariojurídico.com