SlideShare una empresa de Scribd logo
1 de 37
Descargar para leer sin conexión
VI CONGRESO AUDITORÍA,
SEGURIDAD Y GOBIERNO




                    ¿CLOUDICAMOS?


     @eduardchaveli

    http://www.linkedin.com/in/eduardchavelI

    e.chaveli@gesconsultor.com
          © 2012. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.
1. RESPONSABILIDAD

  Responsabilidad = diversas consecuencias:

  -  Económicas: Se pueden mitigar o desplazar (ej. Contrato de Seguros, Repetir al proveedor)

  -   Otras (ej. Reputación): NO

  Los contratos suelen disponer de cláusulas de exclusión de responsabilidad a
  ciertos supuestos y ciertos límites

  # Tan importante como la fijación de la responsabilidad                          es su
  exigibilidad

      ¿QUÉ TENEMOS QUE COMPROBAR?:
  Revisar qué cláusulas de exclusión de responsabilidad tiene
  el contrato y qué límites. Y la exigibilidad. ¿Dónde
  reclamarla?
2. PROTECCIÓN DE DATOS

 2.1.¿ES DE APLICACIÓN LA LEGISLACIÓN SOBRE
 PROTECCIÓN DE DATOS?
 •  EXIGENCIA MUY ALTA.
 Ej. TJCE en el Asunto C-101 (Lindqvist):

 «… la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su
 nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus
 aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales»


 •  Concepto de dato de carácter personal (DP) amplio:
 DP: Persona identificada o identificable. Nombre, apellidos, DNI, IP, email, matrícula de
 vehículo….

 - Ejemplos en el cloud:
      -  Provisión de servicios de correo electrónico
      -  Aplicaciones que traten datos personales
                                                                                                                2
2 PROTECCIÓN DE DATOS
 2.2. ¿ES DE APLICACIÓN LA LEGISLACIÓN ESPAÑOLA?
 (Artículo 2 LOPD y 3 del RDLOPD)
 Aplicará la legislación española de protección de datos cuando:

 A. El responsable del tratamiento esté en territorio español.
 Aplican todas las obligaciones de la LOPD y del RD 1720/2007.

 B. El encargado del tratamiento esté en España.
 Serán de aplicación al mismo las medidas de seguridad (título VIII del RD 1720/2007).

 C. El responsable del tratamiento no en territorio español pero normas de Derecho
 internacional público.

 D. El responsable del tratamiento no en UE pero utilice medios situados en
 España, salvo medios de tránsito.
 El responsable deberá designar un representante en España.
                                                                                         3
2. PROTECCIÓN DE DATOS

    NOTAS:

    -    No se puede disponer (pactar) por las partes la legislación aplicable en
         protección de datos.

    -    Si que podrá incluir el contrato cláusulas de mediación


         Los asistentes a este congreso cuyas organizaciones
    estén en territorio español, sean responsables y contraten
    servicios de cloud, (independientemente de quien sea el
    proveedor y donde esté el mismo) han de cumplir la
    legislación española

                                                                                4
2. PROTECCIÓN DE DATOS

 2.3. ENCARGADO DEL TRATAMIENTO
 Art. 5 RDLOPD:
 «Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano
 administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del
 responsable del tratamiento o del responsable del fichero, como consecuencia de la
 existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su
 actuación para la prestación de un servicio».

 CONCLUSIÓN: El prestador de servicios en la Nube es un encargado del tratamiento.

 # Pero en determinados supuestos el proveedor de cloud puede ser
 responsable del tratamiento

 CONSECUENCIA: Aplicación del conjunto de criterios del Capítulo III del Título II del
 RD 1720/2007.
                                                                                        5
2. PROTECCIÓN DE DATOS
2.4. RELACIÓN ENTRE RESPONSABLE DEL FICHERO (RF)                   Y
ENCARGADO DEL TRATAMIENTO (ET)
  ASPECTOS TRADICIONALES/DINÁMICA CLOUD

  -  ¿El RF “decide” o “manda”?
  -  ¿El RF tiene el control de donde están los datos?

  # Los esquemas legales tradicionales no valen tal cual para el
  cloud

  OBLIGACIONES

  -  Firma de contrato de acceso a datos (art. 12 LOPD).
  -  + Deber de diligencia del RF respecto del ET


                                                                   6
2. PROTECCIÓN DE DATOS

 2.4.1. FIRMA DE UN CONTRATO
 FORMALMENTE: Contrato ad hoc, cláusula, o anexo.

 CONTENIDO OBLIGATORIO

 •  “que el encargado del tratamiento únicamente tratará los datos conforme a las
    instrucciones del responsable”
 •  “que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato”.
 •  “que no los comunicará, ni siquiera para su conservación, a otras personas”.
 •  “las medidas de seguridad … que el encargado del tratamiento está obligado a
    implementar”.
 •  “que una vez cumplida la prestación contractual, los datos de carácter personal deberán
    ser destruidos o devueltos al responsable del tratamiento …”
 # Pero en temas de cloud es especialmente importante revisar otros
 aspectos de los contratos que se detallan posteriormente
                                                                                         7
2. PROTECCIÓN DE DATOS

 2.4.2. ASPECTOS CONCRETOS
 A.  SUBCONTRACIÓN
 a. Regla general: El ET no puede subcontratar
 b. Régimen alternativo: Posibilidad cuando éste autorización. Requisitos:
     1. En el contrato consten los servicios que puedan ser objeto de subcontratación y, si
     ello fuera posible, la empresa con la que se vaya a subcontratar.
     2. Cuando no se identificase en el contrato la empresa con la que se vaya a
     subcontratar, será preciso que el encargado del tratamiento comunique al responsable
     los datos que la identifiquen antes de proceder a la subcontratación.
     3. Que el tratamiento de datos de carácter personal por parte del subcontratista se
     ajuste a las instrucciones del responsable del fichero.
     4. Que el encargado del tratamiento y la empresa subcontratista formalicen el
     contrato del art. 12 LOPD.
     Si se da una subcontratación sobrevenida total o parcial no prevista en el contrato
     debe someterse al responsable.

                                                                                         8
2. PROTECCIÓN DE DATOS
ADAPTACIÓN AL CLOUD (POSIBLE FÓRMULA):
# La subcontratación es muy habitual en el cloud y
requiere adaptar las exigencias
-  Que el cliente autorice los servicios susceptibles de subcontratación
   (p.ej. servicios de “hosting”).

-  Que tenga permanentemente a su disposición una relación
   actualizada:

   -  De las entidades subcontratadas
   -  Y de los países donde operan.
   Por ejemplo en una página web a la que tenga acceso o a través de otras
   alternativas que le permitan estar informado.
   (Extraído del informe “Utilización del Cloud Computing por los despachos de abogados y el derecho a la
   protección de datos de carácter personal”. AEPD Y CGAE)
                                                                                                            9
2. PROTECCIÓN DE DATOS
 ¿Qué dice el GRUPO DE TRABAJO DEL ARTÍCULO 29
 (GTA29)?
 # La trasparencia debería               llegar     hasta    el   titular     (cliente
 final)
 Entre otras cosas añade..
 TRANSPARENCIA. Buena práctica

 Que el cliente del servicio cloud informe a los titulares (clientes últimos) de los datos
 sobre:

 1. Quién va a ser el proveedor del “cloud”
 2. Los subcontratistas (si los hubiera)
 3. Y el lugar donde se van a tratar los datos.

 # Si para el cliente está nublado como no lo va a estar para el
 titular (“cliente” final)
2. PROTECCIÓN DE DATOS

 .
     ¿ QUÉ TENEMOS QUE COMPROBAR?

     1. Si el encargado subcontrata.
     2. Si se le autoriza
     2. Si se cumplen los requisitos indicados (letras A – D), con
     las “adaptaciones· indicadas para el cloud.




                                                                 11
2. PROTECCIÓN DE DATOS

 B. SEGURIDAD
 1.  Si ET en EEE: con el estándar del Paísde la EEE es suficiente.

 2. Si no está en la EEE: pactar RDLOPD

 Artículo 82 RDLOPD
 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a
 las medidas de seguridad contempladas en este reglamento.

 # No se sabe aún qué pasará con el tema de las medidas en el futuro
 Reglamento Europeo




                                                                                      12
2. PROTECCIÓN DE DATOS
     ¿QUÉ TENEMOS QUE COMPROBAR?:
 1. En general: ¿hemos realizado un mínimo análisis de riesgos? ¿Se nos
 ofrece información fiable?
 2. Elementos concretos básicos:
    •  Formación de los usuarios del encargado.
    •  Copias de seguridad.
    •  Protección de los accesos a través de redes.
    •  Protocolos de gestión y respuesta ante incidencias.
    •  Controles de acceso y protección frente accesos indebidos de otros clientes y terceros
       proveedores.
    •  Localización de los recursos.
    •  Identificación y autenticación.
    •  …..
 3. ¿Reúne el software los requisitos de la D.A.1ª RDLOPD?
 4. ¿Dispone de alguna certificación o emplea alguna métrica que
 podamos verificar? ¿ISO 27001/otras específicas ?
 5. ¿Se audita? Y si lo hace ¿Exhibe documentación acreditativa y fiable?
                                                                                                13
2. PROTECCIÓN DE DATOS
  C. CONSERVACIÓN DE LOS DATOS POR EL ENCARGADO

  Art. 12.3 LOPD :
  “Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos
  al responsable del tratamiento …”
  .
  Art. 22 RDLOPD:
  - Añade posibilidad de devolución de datos al ET que el Responsable
    .
  hubiese designado.
  - Aclara disyunción “destruidos o devueltos”.
  “No procederá la destrucción … cuando exista una previsión legal que exija su
  conservación, en cuyo caso deberá procederse a la devolución de los mismos
  garantizando el responsable del fichero dicha conservación”.
  -Establece posibilidad ET conserve datos para salvar responsabilidades

  (Informe 283/2004. Conservación de los datos por el encargado del tratamiento)

                                                                                                               14
2. PROTECCIÓN DE DATOS


      ¿QUÉ TENEMOS QUE COMPROBAR?:

 1. Asegurar la conservación y pacífica exportación de datos.
 2. Prever portabilidad (Vid. propuesta Reglamento Europeo)
 3. Revisar concreción del contrato pues en ocasiones se
 condiciona a un periodo (incluso con fórmulas indeterminadas
 como período razonable de tiempo) o a pago de precios.

 # Aunque una cosa sea el contrato y otra la realidad física debe
 preverse en el contrato claramente



                                                               15
2. PROTECCIÓN DE DATOS

3.4.3 EL DEBER DE VIGILANCIA DEL RESPONSABLE EN
RELACIÓN CON EL ENCARGADO

Art. 20 RDLOPD: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte
un tratamiento de datos personales sometido a lo dispuesto en este Capítulo deberá velar por que el encargado del
tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.


   .
CUESTIÓN: ¿Cuándo se puede entender que el responsable “cumple” y no
será responsable de los actos del encargado?

# Debe existir una cláusula que habilite al responsable a solicitar
documentación al encargado
# Ejemplos de documentación: Certificaciones, informes de
auditoría, documento de seguridad ..


                                                                                                              16
2. PROTECCIÓN DE DATOS


      ¿QUÉ TENEMOS QUE COMPROBAR?:

 1. ¿Hemos elegido a un proveedor que transmite confianza?
 2. ¿Esa confianza se basa en información objetiva?
 3.  ¿En el contrato se contempla la posibilidad de exigir dicha
     información al encargado?
 4.  ¿Hemos elegido bien la información a requerir?




                                                              17
2. PROTECCIÓN DE DATOS

3.5. TRANSFERENCIAS INTERNACIONALES DE DATOS (TID)
3.5.1. IMPORTANCIA. CONCEPTO
#    En determinadas modalidades de cloud se producen TID y es una
cuestión determinante.
# Muchos problemas del cloud están en la tierra. En la
territorialidad de las leyes.
   .

- Transferencia Internacional de datos (artículo 5.1.s RLOPD)

“Tratamiento de datos que supone la transmisión de los datos fuera del Espacio Económico Europeo, tanto cesión (a
otro responsable) tanto prestación de un servicio (encargado de tratamiento)”


- Transmisión de datos a países del Espacio Económico Europeo = NO TID SI posible
Cesión de Datos
                                                                                                              18
2. PROTECCIÓN DE DATOS




   .




             FUENTE: https://www.privacyinternational.org/global-data-protection-map

             # ¿Sabemos por y a donde viajan nuestros datos ?

                                                                                       19
2. PROTECCIÓN DE DATOS

 2.5.2. MARCO REGULADOR

 •  DIRECTIVA 95/46 DE PROTECCIÓN DE DATOS. Arts. 25 y 26

 •  LOPD. Arts. 33 y 34

 •  REGLAMENTO DE DESARROLLO LOPD. RD 1720/2007
   .

       •  Título VI. Transferencias Internacionales de datos.
       •  Título IX. Capítulo V. Procedimientos relacionados con las
          transferencias internacionales de datos.

 •  DECISIONES COMISIÓN EUROPEA


                                                                       20
2. PROTECCIÓN DE DATOS

2.5.3. RÉGIMEN. OPCIONES. VISIÓN GENERAL

   1. DENTRO ESPACIO ECONÓMICO EUROPEO
   No TID

   2. A PAÍS CON NIVEL ADECUADO DE PROTECCIÓN
   .
   Si TID pero sólo requiere comunicarla en la Inscripción

   3. A ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO
   DE PROTECCIÓN
   Si TID y además requiere autorización del Director de la AEPD

                                                              21
2. PROTECCIÓN DE DATOS

2.5.4 DETALLE

1.  DENTRO ESPACIO ECONÓMICO EUROPEO

•  NO es una TDI (art. 5.1. s RDLOPD).

•  POSIBLE:
    .
A) Cesión de datos
B)  Prestación de servicios - Encargado de tratamiento (art. 12 LOPD, arts. 20-22
    RLOPD)

•    RÉGIMEN: EXIGENCIAS: LOPD ↔ Directiva 95/46/CE

# No habiendo transferencia internacional no existe este problema
                                                                                    22
2. PROTECCIÓN DE DATOS
 2.5.5. NIVEL ADECUADO DE PROTECCIÓN
 •  SI TDI.

 •  INCLUYE:

 A.  DECISIÓN DE ADECUACIÓN DE LA COMISIÓN EUROPEA
 Suiza, Argentina, Guernsey, Man, Jersey, Islas Feroe, Canadá, Israel, Andorra, Israel y
 Uriguay
 https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-
 idphp.php
 +
 B. EEUU: Safe Harbor. Vid. http://www.export.gov/safeharbor/ y listado:
 https://safeharbor.export.gov/list.aspx
 Ejemplos: Microsoft, Amazon, Google…


                                                                                            23
2. PROTECCIÓN DE DATOS

 RÉGIMEN:

 -  Solo es precisa la comunicación de las TID en la notificación del fichero.

 -  NO necesaria autorización

 -  Y las exigencia derivadas de la Cesión o encargado de tratamiento (ET):

 Si ET será necesario suscribir un contrato de prestación de servicios conforme a la LOPD.
 Decisión 2000/520/CE




                                                                                        24
2. PROTECCIÓN DE DATOS
 2.5.6. ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO
 DE PROTECCIÓN
 •  SI TDI
 •  Si autorización Director AEPD.
 •  Opciones:
 A.  Que el responsable solicite autorización.                   Los contratos celebrados según las “Las cláusulas
      contractuales tipo para la TID a los encargados del tratamiento establecidos en terceros países”, adoptadas por
      la Comisión Europea en su Decisión 2010/87/UE, ofrecen garantías adecuadas.
 •    En el caso de multinacionales: Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR).

 B. Que el proveedor de Cloud haya obtenido la autorización para TID a
 subencargados establecidos en terceros países basada en cláusulas contractuales en las que se
 autoricen servicios susceptibles de subcontratación (p. ej “hosting”...) y pueda conocer en cualquier momento la
 identidad de las empresas subcontratadas y, si se encuentran en países que no ofrezcan garantías adecuadas, en
 qué países operan.
 Relación de autorizaciones concedidas:
 https://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/index-ides-idphp.php


                                                                                                                  25
2. PROTECCIÓN DE DATOS


      ¿QUÉ TENEMOS QUE COMPROBAR?:

 1.  Saber si nos encontramos ante una TID.
 2.  En función de la tipología de TID cumples los requisitos
     exigidos a la misma.




                                                           26
2. PROTECCIÓN DE DATOS

  2.6. INFRACCIONES Y SANCIONES RELACIONADAS
  Algunas infracciones y sanciones* previstas:

  •  LEVE: Transmisión de datos a ET sin cumplir deberes formales (contrato). Multa de
     900 a 40.000 euros.
  •  GRAVE: Incumplimiento deber de seguridad. De 40.001 a 300.000 euros
  •  MUY GRAVE: TID a países que no proporcionen un nivel de protección equiparable
     sin autorización. Multa de 300.001 a 600.000 euros.

  * Sólo sanciones económicas en el ámbito privado




                                                                                     27
3. HACIA DONDE VAMOS


  A tener en cuenta:

  1. Informe del GRUPO DE TRABAJO DEL ARTÍCULO 29
  http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
  recommendation/files/2012/wp196_en.pdf

  2. Borrador de Reglamento Europeo de Protección de Datos
  http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF

  3. Opinión del supervisor europeo de protección de datos
  http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/
  Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf




                                                                                   28
3. HACIA DONDE VAMOS


  Algunas consideraciones del SUPERVISOR EUROPEO DE PROTECCIÓN
  DE DATOS (SEPD). Informe de 16 de Noviembre de 2012

  Mejoras que contempla la propuesta de NUEVO REGLAMENTO EUROPEO
  DE PROTECCIÓN DE DATOS para el cloud:

  1.  Ampliación ámbito territorial. Ampliación puede ayudar a incluir al cloud
  2.  Un proveedor puede ser considerado RF. + “condiciones”.
  3.  Aumento de responsabilidad y rendición de cuentas. Ej. Privacy by
      design, notificaciones violaciones de seguridad …
  4.  Flexibilización TID.
  5.  Refuerzo cooperación autoridades de control.


                                                                              29
3. HACIA DONDE VAMOS

  Algunas de las MEJORAS ADICIONALES QUE PROPONE EL SEPD para
  el cloud:

  1.  Mejora redacción ámbito territorial. Clarificar oferta de bienes y
      servicios dirigidos a titulares en EEE.
  2.  Clarificación concepto TI.
  3.  Aclarar en qué condiciones se puede acceder por autoridades
      policiales a datos fuera de la EEE.
  4.  Apuesta por los códigos de conducta de la industria y aprobados por
      las autoridades de control.
  5.  Otras….



                                                                        30
4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN



 1.  CLOUD Y COMPETITIVIDAD

 # La nube evidencia que las diferencias de la legislación
 puede dificultar la competitividad

 # Los problemas se deben en        parte   a   la   diferente
 regulación de EEE/otros paises.

 #   También se deben a la amalgama interna de leyes en EEE.

 ¿PUEDE SER EL NUEVO REPD PARTE DE LA SOLUCIÓN?


                                                               31
4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN



 2. CLOUD Y EQUILIBRIO ENTRE PRIVACIDAD/SEGURIDAD (policial)

 # Es necesario buscar el equilibrio entre privacidad y
 seguridad “policial”.

 # De nuevo    hay   diferencias   evidentes   entre   EEE/otros
 paises

 # Esas diferencias también pueden condicionar la elección
 o no de ciertos proveedores de cloud



 .                                                             32
4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN



  3. CLOUD Y LOS DESEQUILIBRIOS CLIENTE-PROVEEDOR

  # En el cloud existe un desequilibrio evidente entre la mayoría
  de clientes y algunos proveedores

  # Los Estados pueden proteger en el cloud legisland. No se puede
  dejar sólo en manos contratos disponibles




                                                                33
4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN

   4.  CLOUD Y RESPONSABILIDAD

   # Se puede legislar y atar contractualmente la responsabilidad
   pero hay un problema de ejecución


   ¿ES LA UBICUIDAD (la posibilidad de que el cliente demande donde quiera) UNA
   SOLUCIÓN EN PARTE” PARA EXIGIR RESPONSABILIDAD?

   .




                                                                            34
4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN

  COMO CONCLUSIÓN:

  •  UN ANÁLISIS DE RIESGOS DEL PROVEEDOR DEL CLOUD NO ASEGURA
     NADA
  +
  •  LA MEJORA DE LA LEGISLACIÓN EUROPEA NO ASEGURA NADA (EN
     SUPUESTOS GLOBALES)
  +
  •  UN BUEN CONTRATO NO ELIMINA EL RIESGO

  = PERO TODO ELLO HACE QUE EL NIVEL DE RIESGO RESIDUAL
  DISMINUYA … Si cloudicamos que lo hagamos con análisis de
  riesgos no a ciegas …
                                                             35
FINAL




                          Gracias

        @eduardchaveli

        http://www.linkedin.com/in/eduardchavelI

        e.chaveli@gesconsultor.com

Más contenido relacionado

La actualidad más candente

Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personalAGM Abogados
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEBehargintza Sestao
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Alvaro J. Thais Rodríguez
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalIsabel Barles Brun
 
Conceptos básicos de LOPD
Conceptos básicos de LOPDConceptos básicos de LOPD
Conceptos básicos de LOPDruben157
 
Ley de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de tercerosLey de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de terceroscapacitacionpkfqueretaro
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en InternetCarlos Verano
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Emisor Digital
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterJavier Peña Alonso
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Andrés Romero
 
Aspectos Eticos Y Legales De La Adm De Doc
Aspectos Eticos Y Legales De La Adm De DocAspectos Eticos Y Legales De La Adm De Doc
Aspectos Eticos Y Legales De La Adm De DocMarisol Martinez-Vega
 
Protección de Datos Personales
Protección de Datos PersonalesProtección de Datos Personales
Protección de Datos PersonalesDra. Myrna García
 
Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)nuriaribas
 
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]Aerco-PSM
 

La actualidad más candente (20)

Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICE
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPD
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personal
 
Conceptos básicos de LOPD
Conceptos básicos de LOPDConceptos básicos de LOPD
Conceptos básicos de LOPD
 
Ley de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de tercerosLey de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de terceros
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en Internet
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
 
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009
 
Aspectos Eticos Y Legales De La Adm De Doc
Aspectos Eticos Y Legales De La Adm De DocAspectos Eticos Y Legales De La Adm De Doc
Aspectos Eticos Y Legales De La Adm De Doc
 
Protección de Datos Personales
Protección de Datos PersonalesProtección de Datos Personales
Protección de Datos Personales
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)
 
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
 
Privacidad datos
Privacidad datosPrivacidad datos
Privacidad datos
 

Destacado

Facturación electronica
Facturación electronicaFacturación electronica
Facturación electronicaGESConsultor
 
Emisión de las Facturas Electrónicas
Emisión de las Facturas ElectrónicasEmisión de las Facturas Electrónicas
Emisión de las Facturas Electrónicassecof
 
Factura electronica
Factura electronicaFactura electronica
Factura electronicaJose Olivera
 
Facturación electrónica
Facturación electrónicaFacturación electrónica
Facturación electrónicacmcrlp
 

Destacado (7)

Cómo ePULPO puede ayudar la gestión TI de tu empresa
Cómo ePULPO puede ayudar la gestión TI de tu empresaCómo ePULPO puede ayudar la gestión TI de tu empresa
Cómo ePULPO puede ayudar la gestión TI de tu empresa
 
Facturación electronica
Facturación electronicaFacturación electronica
Facturación electronica
 
Emisión de las Facturas Electrónicas
Emisión de las Facturas ElectrónicasEmisión de las Facturas Electrónicas
Emisión de las Facturas Electrónicas
 
Factura electronica
Factura electronicaFactura electronica
Factura electronica
 
Facturacion Electronica
Facturacion ElectronicaFacturacion Electronica
Facturacion Electronica
 
Facturación electrónica
Facturación electrónicaFacturación electrónica
Facturación electrónica
 
Factura electrónica Laboratorio Médico del Chopo
Factura electrónica Laboratorio Médico del ChopoFactura electrónica Laboratorio Médico del Chopo
Factura electrónica Laboratorio Médico del Chopo
 

Similar a Cloudicamos

Cloud Computing y Protección de Datos
Cloud Computing y Protección de DatosCloud Computing y Protección de Datos
Cloud Computing y Protección de DatosUniversidad de Sevilla
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaa2garriido
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.Brox Technology
 
Presentación Café AGM Cloud Computing 241013
Presentación Café AGM Cloud Computing 241013Presentación Café AGM Cloud Computing 241013
Presentación Café AGM Cloud Computing 241013AGM Abogados
 
Los aspectos legales del cloud computing
Los aspectos legales del cloud computingLos aspectos legales del cloud computing
Los aspectos legales del cloud computingCIT Marbella
 
6.6 Contratación de Servicios Cloud (II).
6.6 Contratación de Servicios Cloud (II).6.6 Contratación de Servicios Cloud (II).
6.6 Contratación de Servicios Cloud (II).Brox Technology
 
Cloud computing - Las desventajas de almacenar en la Nube
Cloud computing - Las desventajas de almacenar en la NubeCloud computing - Las desventajas de almacenar en la Nube
Cloud computing - Las desventajas de almacenar en la NubeAaron Umanzor
 
Lopd en las comunidades de propietarios
Lopd en las comunidades de propietariosLopd en las comunidades de propietarios
Lopd en las comunidades de propietariosEugenio Rubio Martín
 
Lopd en las comunidades de propietarios
Lopd en las comunidades de propietariosLopd en las comunidades de propietarios
Lopd en las comunidades de propietariosEugenio Rubio Martín
 
Conversia – Novedades de la LOPDGDD
Conversia – Novedades de la LOPDGDDConversia – Novedades de la LOPDGDD
Conversia – Novedades de la LOPDGDDConversia
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales   horacio graneroLos desafíos que presenta la explosión de los medios digitales   horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroamdia
 
201610 Guia Cloud Computing AGPD
201610 Guia Cloud Computing AGPD201610 Guia Cloud Computing AGPD
201610 Guia Cloud Computing AGPDFrancisco Calzado
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datoscgalisteo
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"Sage España
 

Similar a Cloudicamos (20)

Cloud Computing y Protección de Datos
Cloud Computing y Protección de DatosCloud Computing y Protección de Datos
Cloud Computing y Protección de Datos
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparencia
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.
 
Presentación Café AGM Cloud Computing 241013
Presentación Café AGM Cloud Computing 241013Presentación Café AGM Cloud Computing 241013
Presentación Café AGM Cloud Computing 241013
 
Aspectos Legales del Cloud Computing
Aspectos Legales del Cloud ComputingAspectos Legales del Cloud Computing
Aspectos Legales del Cloud Computing
 
Los aspectos legales del cloud computing
Los aspectos legales del cloud computingLos aspectos legales del cloud computing
Los aspectos legales del cloud computing
 
Aspectos Legales del Cloud Computing
Aspectos Legales del Cloud ComputingAspectos Legales del Cloud Computing
Aspectos Legales del Cloud Computing
 
6.6 Contratación de Servicios Cloud (II).
6.6 Contratación de Servicios Cloud (II).6.6 Contratación de Servicios Cloud (II).
6.6 Contratación de Servicios Cloud (II).
 
Security
SecuritySecurity
Security
 
Cloud computing - Las desventajas de almacenar en la Nube
Cloud computing - Las desventajas de almacenar en la NubeCloud computing - Las desventajas de almacenar en la Nube
Cloud computing - Las desventajas de almacenar en la Nube
 
Modulo III, parte 4
Modulo III, parte 4Modulo III, parte 4
Modulo III, parte 4
 
Lopd en las comunidades de propietarios
Lopd en las comunidades de propietariosLopd en las comunidades de propietarios
Lopd en las comunidades de propietarios
 
Lopd en las comunidades de propietarios
Lopd en las comunidades de propietariosLopd en las comunidades de propietarios
Lopd en las comunidades de propietarios
 
Conversia – Novedades de la LOPDGDD
Conversia – Novedades de la LOPDGDDConversia – Novedades de la LOPDGDD
Conversia – Novedades de la LOPDGDD
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales   horacio graneroLos desafíos que presenta la explosión de los medios digitales   horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio granero
 
201610 Guia Cloud Computing AGPD
201610 Guia Cloud Computing AGPD201610 Guia Cloud Computing AGPD
201610 Guia Cloud Computing AGPD
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
 
Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD
 
LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"
 

Cloudicamos

  • 1. VI CONGRESO AUDITORÍA, SEGURIDAD Y GOBIERNO ¿CLOUDICAMOS? @eduardchaveli http://www.linkedin.com/in/eduardchavelI e.chaveli@gesconsultor.com © 2012. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.
  • 2. 1. RESPONSABILIDAD Responsabilidad = diversas consecuencias: -  Económicas: Se pueden mitigar o desplazar (ej. Contrato de Seguros, Repetir al proveedor) - Otras (ej. Reputación): NO Los contratos suelen disponer de cláusulas de exclusión de responsabilidad a ciertos supuestos y ciertos límites # Tan importante como la fijación de la responsabilidad es su exigibilidad ¿QUÉ TENEMOS QUE COMPROBAR?: Revisar qué cláusulas de exclusión de responsabilidad tiene el contrato y qué límites. Y la exigibilidad. ¿Dónde reclamarla?
  • 3. 2. PROTECCIÓN DE DATOS 2.1.¿ES DE APLICACIÓN LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS? •  EXIGENCIA MUY ALTA. Ej. TJCE en el Asunto C-101 (Lindqvist): «… la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» •  Concepto de dato de carácter personal (DP) amplio: DP: Persona identificada o identificable. Nombre, apellidos, DNI, IP, email, matrícula de vehículo…. - Ejemplos en el cloud: -  Provisión de servicios de correo electrónico -  Aplicaciones que traten datos personales 2
  • 4. 2 PROTECCIÓN DE DATOS 2.2. ¿ES DE APLICACIÓN LA LEGISLACIÓN ESPAÑOLA? (Artículo 2 LOPD y 3 del RDLOPD) Aplicará la legislación española de protección de datos cuando: A. El responsable del tratamiento esté en territorio español. Aplican todas las obligaciones de la LOPD y del RD 1720/2007. B. El encargado del tratamiento esté en España. Serán de aplicación al mismo las medidas de seguridad (título VIII del RD 1720/2007). C. El responsable del tratamiento no en territorio español pero normas de Derecho internacional público. D. El responsable del tratamiento no en UE pero utilice medios situados en España, salvo medios de tránsito. El responsable deberá designar un representante en España. 3
  • 5. 2. PROTECCIÓN DE DATOS NOTAS: -  No se puede disponer (pactar) por las partes la legislación aplicable en protección de datos. -  Si que podrá incluir el contrato cláusulas de mediación Los asistentes a este congreso cuyas organizaciones estén en territorio español, sean responsables y contraten servicios de cloud, (independientemente de quien sea el proveedor y donde esté el mismo) han de cumplir la legislación española 4
  • 6. 2. PROTECCIÓN DE DATOS 2.3. ENCARGADO DEL TRATAMIENTO Art. 5 RDLOPD: «Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio». CONCLUSIÓN: El prestador de servicios en la Nube es un encargado del tratamiento. # Pero en determinados supuestos el proveedor de cloud puede ser responsable del tratamiento CONSECUENCIA: Aplicación del conjunto de criterios del Capítulo III del Título II del RD 1720/2007. 5
  • 7. 2. PROTECCIÓN DE DATOS 2.4. RELACIÓN ENTRE RESPONSABLE DEL FICHERO (RF) Y ENCARGADO DEL TRATAMIENTO (ET) ASPECTOS TRADICIONALES/DINÁMICA CLOUD -  ¿El RF “decide” o “manda”? -  ¿El RF tiene el control de donde están los datos? # Los esquemas legales tradicionales no valen tal cual para el cloud OBLIGACIONES -  Firma de contrato de acceso a datos (art. 12 LOPD). -  + Deber de diligencia del RF respecto del ET 6
  • 8. 2. PROTECCIÓN DE DATOS 2.4.1. FIRMA DE UN CONTRATO FORMALMENTE: Contrato ad hoc, cláusula, o anexo. CONTENIDO OBLIGATORIO •  “que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable” •  “que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato”. •  “que no los comunicará, ni siquiera para su conservación, a otras personas”. •  “las medidas de seguridad … que el encargado del tratamiento está obligado a implementar”. •  “que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento …” # Pero en temas de cloud es especialmente importante revisar otros aspectos de los contratos que se detallan posteriormente 7
  • 9. 2. PROTECCIÓN DE DATOS 2.4.2. ASPECTOS CONCRETOS A.  SUBCONTRACIÓN a. Regla general: El ET no puede subcontratar b. Régimen alternativo: Posibilidad cuando éste autorización. Requisitos: 1. En el contrato consten los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. 2. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. 3. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 4. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato del art. 12 LOPD. Si se da una subcontratación sobrevenida total o parcial no prevista en el contrato debe someterse al responsable. 8
  • 10. 2. PROTECCIÓN DE DATOS ADAPTACIÓN AL CLOUD (POSIBLE FÓRMULA): # La subcontratación es muy habitual en el cloud y requiere adaptar las exigencias -  Que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”). -  Que tenga permanentemente a su disposición una relación actualizada: -  De las entidades subcontratadas -  Y de los países donde operan. Por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado. (Extraído del informe “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal”. AEPD Y CGAE) 9
  • 11. 2. PROTECCIÓN DE DATOS ¿Qué dice el GRUPO DE TRABAJO DEL ARTÍCULO 29 (GTA29)? # La trasparencia debería llegar hasta el titular (cliente final) Entre otras cosas añade.. TRANSPARENCIA. Buena práctica Que el cliente del servicio cloud informe a los titulares (clientes últimos) de los datos sobre: 1. Quién va a ser el proveedor del “cloud” 2. Los subcontratistas (si los hubiera) 3. Y el lugar donde se van a tratar los datos. # Si para el cliente está nublado como no lo va a estar para el titular (“cliente” final)
  • 12. 2. PROTECCIÓN DE DATOS . ¿ QUÉ TENEMOS QUE COMPROBAR? 1. Si el encargado subcontrata. 2. Si se le autoriza 2. Si se cumplen los requisitos indicados (letras A – D), con las “adaptaciones· indicadas para el cloud. 11
  • 13. 2. PROTECCIÓN DE DATOS B. SEGURIDAD 1.  Si ET en EEE: con el estándar del Paísde la EEE es suficiente. 2. Si no está en la EEE: pactar RDLOPD Artículo 82 RDLOPD 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento. # No se sabe aún qué pasará con el tema de las medidas en el futuro Reglamento Europeo 12
  • 14. 2. PROTECCIÓN DE DATOS ¿QUÉ TENEMOS QUE COMPROBAR?: 1. En general: ¿hemos realizado un mínimo análisis de riesgos? ¿Se nos ofrece información fiable? 2. Elementos concretos básicos: •  Formación de los usuarios del encargado. •  Copias de seguridad. •  Protección de los accesos a través de redes. •  Protocolos de gestión y respuesta ante incidencias. •  Controles de acceso y protección frente accesos indebidos de otros clientes y terceros proveedores. •  Localización de los recursos. •  Identificación y autenticación. •  ….. 3. ¿Reúne el software los requisitos de la D.A.1ª RDLOPD? 4. ¿Dispone de alguna certificación o emplea alguna métrica que podamos verificar? ¿ISO 27001/otras específicas ? 5. ¿Se audita? Y si lo hace ¿Exhibe documentación acreditativa y fiable? 13
  • 15. 2. PROTECCIÓN DE DATOS C. CONSERVACIÓN DE LOS DATOS POR EL ENCARGADO Art. 12.3 LOPD : “Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento …” . Art. 22 RDLOPD: - Añade posibilidad de devolución de datos al ET que el Responsable . hubiese designado. - Aclara disyunción “destruidos o devueltos”. “No procederá la destrucción … cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación”. -Establece posibilidad ET conserve datos para salvar responsabilidades (Informe 283/2004. Conservación de los datos por el encargado del tratamiento) 14
  • 16. 2. PROTECCIÓN DE DATOS ¿QUÉ TENEMOS QUE COMPROBAR?: 1. Asegurar la conservación y pacífica exportación de datos. 2. Prever portabilidad (Vid. propuesta Reglamento Europeo) 3. Revisar concreción del contrato pues en ocasiones se condiciona a un periodo (incluso con fórmulas indeterminadas como período razonable de tiempo) o a pago de precios. # Aunque una cosa sea el contrato y otra la realidad física debe preverse en el contrato claramente 15
  • 17. 2. PROTECCIÓN DE DATOS 3.4.3 EL DEBER DE VIGILANCIA DEL RESPONSABLE EN RELACIÓN CON EL ENCARGADO Art. 20 RDLOPD: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este Capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”. . CUESTIÓN: ¿Cuándo se puede entender que el responsable “cumple” y no será responsable de los actos del encargado? # Debe existir una cláusula que habilite al responsable a solicitar documentación al encargado # Ejemplos de documentación: Certificaciones, informes de auditoría, documento de seguridad .. 16
  • 18. 2. PROTECCIÓN DE DATOS ¿QUÉ TENEMOS QUE COMPROBAR?: 1. ¿Hemos elegido a un proveedor que transmite confianza? 2. ¿Esa confianza se basa en información objetiva? 3.  ¿En el contrato se contempla la posibilidad de exigir dicha información al encargado? 4.  ¿Hemos elegido bien la información a requerir? 17
  • 19. 2. PROTECCIÓN DE DATOS 3.5. TRANSFERENCIAS INTERNACIONALES DE DATOS (TID) 3.5.1. IMPORTANCIA. CONCEPTO # En determinadas modalidades de cloud se producen TID y es una cuestión determinante. # Muchos problemas del cloud están en la tierra. En la territorialidad de las leyes. . - Transferencia Internacional de datos (artículo 5.1.s RLOPD) “Tratamiento de datos que supone la transmisión de los datos fuera del Espacio Económico Europeo, tanto cesión (a otro responsable) tanto prestación de un servicio (encargado de tratamiento)” - Transmisión de datos a países del Espacio Económico Europeo = NO TID SI posible Cesión de Datos 18
  • 20. 2. PROTECCIÓN DE DATOS . FUENTE: https://www.privacyinternational.org/global-data-protection-map # ¿Sabemos por y a donde viajan nuestros datos ? 19
  • 21. 2. PROTECCIÓN DE DATOS 2.5.2. MARCO REGULADOR •  DIRECTIVA 95/46 DE PROTECCIÓN DE DATOS. Arts. 25 y 26 •  LOPD. Arts. 33 y 34 •  REGLAMENTO DE DESARROLLO LOPD. RD 1720/2007 . •  Título VI. Transferencias Internacionales de datos. •  Título IX. Capítulo V. Procedimientos relacionados con las transferencias internacionales de datos. •  DECISIONES COMISIÓN EUROPEA 20
  • 22. 2. PROTECCIÓN DE DATOS 2.5.3. RÉGIMEN. OPCIONES. VISIÓN GENERAL 1. DENTRO ESPACIO ECONÓMICO EUROPEO No TID 2. A PAÍS CON NIVEL ADECUADO DE PROTECCIÓN . Si TID pero sólo requiere comunicarla en la Inscripción 3. A ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO DE PROTECCIÓN Si TID y además requiere autorización del Director de la AEPD 21
  • 23. 2. PROTECCIÓN DE DATOS 2.5.4 DETALLE 1.  DENTRO ESPACIO ECONÓMICO EUROPEO •  NO es una TDI (art. 5.1. s RDLOPD). •  POSIBLE: . A) Cesión de datos B)  Prestación de servicios - Encargado de tratamiento (art. 12 LOPD, arts. 20-22 RLOPD) •  RÉGIMEN: EXIGENCIAS: LOPD ↔ Directiva 95/46/CE # No habiendo transferencia internacional no existe este problema 22
  • 24. 2. PROTECCIÓN DE DATOS 2.5.5. NIVEL ADECUADO DE PROTECCIÓN •  SI TDI. •  INCLUYE: A.  DECISIÓN DE ADECUACIÓN DE LA COMISIÓN EUROPEA Suiza, Argentina, Guernsey, Man, Jersey, Islas Feroe, Canadá, Israel, Andorra, Israel y Uriguay https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides- idphp.php + B. EEUU: Safe Harbor. Vid. http://www.export.gov/safeharbor/ y listado: https://safeharbor.export.gov/list.aspx Ejemplos: Microsoft, Amazon, Google… 23
  • 25. 2. PROTECCIÓN DE DATOS RÉGIMEN: -  Solo es precisa la comunicación de las TID en la notificación del fichero. -  NO necesaria autorización -  Y las exigencia derivadas de la Cesión o encargado de tratamiento (ET): Si ET será necesario suscribir un contrato de prestación de servicios conforme a la LOPD. Decisión 2000/520/CE 24
  • 26. 2. PROTECCIÓN DE DATOS 2.5.6. ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO DE PROTECCIÓN •  SI TDI •  Si autorización Director AEPD. •  Opciones: A.  Que el responsable solicite autorización. Los contratos celebrados según las “Las cláusulas contractuales tipo para la TID a los encargados del tratamiento establecidos en terceros países”, adoptadas por la Comisión Europea en su Decisión 2010/87/UE, ofrecen garantías adecuadas. •  En el caso de multinacionales: Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR). B. Que el proveedor de Cloud haya obtenido la autorización para TID a subencargados establecidos en terceros países basada en cláusulas contractuales en las que se autoricen servicios susceptibles de subcontratación (p. ej “hosting”...) y pueda conocer en cualquier momento la identidad de las empresas subcontratadas y, si se encuentran en países que no ofrezcan garantías adecuadas, en qué países operan. Relación de autorizaciones concedidas: https://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/index-ides-idphp.php 25
  • 27. 2. PROTECCIÓN DE DATOS ¿QUÉ TENEMOS QUE COMPROBAR?: 1.  Saber si nos encontramos ante una TID. 2.  En función de la tipología de TID cumples los requisitos exigidos a la misma. 26
  • 28. 2. PROTECCIÓN DE DATOS 2.6. INFRACCIONES Y SANCIONES RELACIONADAS Algunas infracciones y sanciones* previstas: •  LEVE: Transmisión de datos a ET sin cumplir deberes formales (contrato). Multa de 900 a 40.000 euros. •  GRAVE: Incumplimiento deber de seguridad. De 40.001 a 300.000 euros •  MUY GRAVE: TID a países que no proporcionen un nivel de protección equiparable sin autorización. Multa de 300.001 a 600.000 euros. * Sólo sanciones económicas en el ámbito privado 27
  • 29. 3. HACIA DONDE VAMOS A tener en cuenta: 1. Informe del GRUPO DE TRABAJO DEL ARTÍCULO 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_en.pdf 2. Borrador de Reglamento Europeo de Protección de Datos http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF 3. Opinión del supervisor europeo de protección de datos http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf 28
  • 30. 3. HACIA DONDE VAMOS Algunas consideraciones del SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS (SEPD). Informe de 16 de Noviembre de 2012 Mejoras que contempla la propuesta de NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS para el cloud: 1.  Ampliación ámbito territorial. Ampliación puede ayudar a incluir al cloud 2.  Un proveedor puede ser considerado RF. + “condiciones”. 3.  Aumento de responsabilidad y rendición de cuentas. Ej. Privacy by design, notificaciones violaciones de seguridad … 4.  Flexibilización TID. 5.  Refuerzo cooperación autoridades de control. 29
  • 31. 3. HACIA DONDE VAMOS Algunas de las MEJORAS ADICIONALES QUE PROPONE EL SEPD para el cloud: 1.  Mejora redacción ámbito territorial. Clarificar oferta de bienes y servicios dirigidos a titulares en EEE. 2.  Clarificación concepto TI. 3.  Aclarar en qué condiciones se puede acceder por autoridades policiales a datos fuera de la EEE. 4.  Apuesta por los códigos de conducta de la industria y aprobados por las autoridades de control. 5.  Otras…. 30
  • 32. 4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN 1.  CLOUD Y COMPETITIVIDAD # La nube evidencia que las diferencias de la legislación puede dificultar la competitividad # Los problemas se deben en parte a la diferente regulación de EEE/otros paises. # También se deben a la amalgama interna de leyes en EEE. ¿PUEDE SER EL NUEVO REPD PARTE DE LA SOLUCIÓN? 31
  • 33. 4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN 2. CLOUD Y EQUILIBRIO ENTRE PRIVACIDAD/SEGURIDAD (policial) # Es necesario buscar el equilibrio entre privacidad y seguridad “policial”. # De nuevo hay diferencias evidentes entre EEE/otros paises # Esas diferencias también pueden condicionar la elección o no de ciertos proveedores de cloud . 32
  • 34. 4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN 3. CLOUD Y LOS DESEQUILIBRIOS CLIENTE-PROVEEDOR # En el cloud existe un desequilibrio evidente entre la mayoría de clientes y algunos proveedores # Los Estados pueden proteger en el cloud legisland. No se puede dejar sólo en manos contratos disponibles 33
  • 35. 4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN 4.  CLOUD Y RESPONSABILIDAD # Se puede legislar y atar contractualmente la responsabilidad pero hay un problema de ejecución ¿ES LA UBICUIDAD (la posibilidad de que el cliente demande donde quiera) UNA SOLUCIÓN EN PARTE” PARA EXIGIR RESPONSABILIDAD? . 34
  • 36. 4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN COMO CONCLUSIÓN: •  UN ANÁLISIS DE RIESGOS DEL PROVEEDOR DEL CLOUD NO ASEGURA NADA + •  LA MEJORA DE LA LEGISLACIÓN EUROPEA NO ASEGURA NADA (EN SUPUESTOS GLOBALES) + •  UN BUEN CONTRATO NO ELIMINA EL RIESGO = PERO TODO ELLO HACE QUE EL NIVEL DE RIESGO RESIDUAL DISMINUYA … Si cloudicamos que lo hagamos con análisis de riesgos no a ciegas … 35
  • 37. FINAL Gracias @eduardchaveli http://www.linkedin.com/in/eduardchavelI e.chaveli@gesconsultor.com