Una de las últimas tendencias en el ámbito tecnológico es el Cloud Compunting o “La Nube”, que permite el acceso bajo demanda y a través de la red a un conjunto de servicios sin necesidad de disponer de servidores o de software en la propia empresa. Los datos y las aplicaciones se encuentran en algún lugar de internet permitiendo acceder a los usuarios a todos estos servicios desde cualquier lugar que tenga internet, pagar sólo por los servicios realmente utilizados y ahorrar en la infraestructura de hardware.
No obstante ello, es importante tener en cuenta que el uso de esta nueva herramienta tecnológica, hace más vulnerable la confidencialidad y protección de los datos utilizados, por lo que es imprescindible adoptar cuantas medidas de seguridad y confidencialidad sean necesarias a fin de permitir la protección extremada de la información. Es pues objeto de la presente nota informativa, analizar brevemente las cuestiones que debe tenerse en cuenta a la hora de contratar y utilizar este nuevo servicio de alojamiento de datos.
MEDIDAS A ADOPTAR EN LA UTILIZACIÓN DEL CLOUD COMPUTING.
Es importante a la hora de utilizar esta herramienta comprobar que la información que se maneja está cubierta con todas las garantías legales de seguridad, privacidad y confidencialidad.
A la hora de contratar un servicio bajo el modelo de Cloud Computing es importante verificar que el proveedor de servicios cumple con toda la legislación aplicable, tanto a nivel nacional como europeo, así como garantice que los datos almacenados en el Cloud no se pueden perder y que estarán siempre disponibles para su uso sólo por quien lo ha contratados, así como que cumple la legislación aplicable a nivel nacional europeo.
Como bien hemos mencionado anteriormente, la naturaleza del Cloud Compunting hace posible que los datos almacenados “en la nube” se encuentren físicamente en un servidor ubicado en cualquier punto del plantea. Esta circunstancia es relevante en materia de protección de datos de carácter personal, ya que los niveles de seguridad y de confidencialidad de los datos puede variar mucho en función de donde se encuentre el servidor.
PROTECCIÓN DE DATOS.
Cuando una compañía española contrate un servicio Cloud Computing, y siempre que en dicho servicio se englobe el tratamiento de datos de carácter personal, se deberá observar el cumplimiento de todos los requerimientos establecidos tanto en la LOPD como en el RDLOPD.
La compañía, en su calidad de responsable de tratamiento de los datos debe elegir al proveedor de servicio (que adquirirá la condición de encargado de tratamiento) que cubra las exigencias legales que a nivel nacional o europeo se establecen en materia de protección de datos, así como acceder y conocer el tratamiento que el proveedor del servicio va a realizar sobre los mismos y verificar las garantías de seguridad e integridad de los datos otorgadas por el proveedor.
Por ello, antes de contratar los servicios de Cloud Computing, la compañía deberá revisar la existencia como mínimo de las siguientes obligaciones y/o garantías:
- Disponibilidad permanente del servicio y portabilidad de la información.
- Cumplimiento de la legislación nacional e internacional aplicable en función de la territorialidad y especialmente en materia de protección de datos. El proveedor debe asumir su papel como encargado de tratamiento de los ficheros. Es conveniente la firma por el proveedor del servicios de un contrato de tratamiento de datos por terceros en el que asuma los compromisos legales en su calidad de encargado de tratamiento de datos.
- Gestión de las subcontrataciones para el tratamiento de la información. El proveedor, previo consentimiento al responsable del fichero podrá subcontratar los servicios debiendo cerciorarse que el subcontratista cumple con las obligaciones legales en materia de protección de datos.
- Garantía en le acceso de los datos: la información sólo puede ser accesible para la Compañía que lo ha contratado.
- Integridad y conservación de los datos; gestión de copias de seguridad, recuperación ante incidentes, continuidad del servicio.
- Confidencialidad: adopción de medidas legales ante una pérdida o vulneración de los sistemas de seguridad: renovación contraseñas acceso, encriptación de datos.
- Consecuencias por incumplimiento de las obligaciones contraídas. Regular de forma clara y concreta las consecuencias jurídicas y responsabilidades ante el incumplimiento de las obligaciones asumidas por las partes.
- Jurisdicción y Ley aplicable: Hay que revisar la jurisdicción y legislación a la que se somete el proveedor del servicio ya puede afectar de forma directa a la resolución de futuros conflictos y a la responsabilidad de la Compañía frente a clientes, teniendo en cuenta, que no se podrá pactar la aplicación de una normativa distinta a la nacional o Europea, ni excluir las competencias que en materia de protección de datos se establecen legalmente.
Cabe mencionar que si bien un contrato de hosting que prevea las garantías mínimas mencionadas anteriormente, para el cumplimiento de los requisitos legales y técnicos en materia de confidencialidad y protección de datos, no exime a la compañía frente a las responsabilidades que terceros afectados le pudieran exigir ante un eventual incumplimiento, ayuda a prevenir que puedan infringirse dichos derechos así como otorga garantías legales a la compañía para poder repetir, en su caso, contra el proveedor sobre, cualquier daño y perjuicio que dicho incumplimiento pudiera haberle ocasionado.
CONCLUSIÓN
Un servicio Cloud Computing es un modelo de contratación de servicios tecnológicos de hosting muy aconsejable desde un punto de vista operativo y financiero, pero es necesario revisar de forma previa a contratarlo que el proveedor del servicio cumpla con las garantías que se enuncian en la presente nota, con el objetivo de que cumpla las características técnicas y legales y que garantice con el pleno respeto al derecho a la confidencialidad y la protección de datos de carácter personal.