Este documento resume los principales aspectos a considerar en materia de protección de datos personales cuando una empresa española contrata servicios de cloud computing. En particular, destaca la necesidad de que el proveedor cumpla con la normativa española de protección de datos, y que el contrato incluya garantías sobre seguridad, portabilidad de datos, subcontratación y derechos de los usuarios.
Conecta tu negocio: el futuro del business-to-consumer (B2C)
Cloud Computing y Protección de Datos
1. WEBINAR SOBRE GESTIÓN DOCUMENTAL EN
CLOUD COMPUTING: BENEFICIOS Y OPCIONES
30 de abril de 2014
2. Relación entre Cloud Computing y Protección de Datos en España
Desde el momento en que una empresa española utiliza Cloud Computing para procesar,
almacenar y gestionar documentación que incluye datos personales de sus clientes y
usuarios, la implantación del servicio debe ser realizada conforme a los criterios y garantías
que vienen determinadas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal, reglamentos que las desarrollan y otras leyes y
disposiciones complementarias que estén implicadas según cada caso.
Autodeterminación lnformativa: Lo relevante no es ya que se conozca un determinado
dato de una persona sino que el progreso tecnológico permite interrelacionar varios datos
que se refieren a la persona pudiendo conformar su perfil personal o identidad.
LOCALIZACIÓN DE LOS DATOS PORTABILIDAD DE LA INFORMACIÓN
3. Sujetos que intervienen en la contratación de servicios de CLOUD COMPUTING
Proveedor de Servicios Cloud
Clientes de Servicios Cloud
Encargado del tratamiento de la
normativa aplicable en los servicios que
prestan.
Responsable del tratamiento de los
datos sobre los que se aplicarán los
servicios de cloud computing
contratados (empresa o profesional)
Como la responsabilidad de que los servicios de cloud computing cumplan con la normativa
de protección de datos se deriva de la propia aplicación de la ley, dicha obligación que
corresponde al Cliente no se puede alterar contractualmente.
4. AGPD ha puesto en marcha una Política preventiva para cumplimiento de la LOPD que
garantice que los clientes contratan proveedores cuya oferta de servicios cloud minimice los
riegos de incumplimiento. Se ha trducido en los siguientes documentos.
Guía para clientes que contraten
servicios de Cloud Computing
(Clientes)
Orientaciones para prestadores de
servicios de Cloud Computing
(Prestadores)
Documentación de referencia: AGPD y Cloud Computing
5. Diligencia en la Contratación
El Cliente tiene que asegurarse que el proveedor de servicios cloud cumple con la normativa
de datos personales. Se trata de la “obligación legal de diligencia para velar que el encargado
del tratamiento cumple con el imperativo legal existente en materia de protección de datos
(art. 20 sobre Relaciones entre el responsable y el encargado del tratamiento del
Reglamento que desarrolla la LOPD).
Requerimientos de información al Proveedor por parte del Cliente
Modalidad de Nube
Modalidad de contratación
Condiciones de la portabilidad de la información
Condiciones de la localización de los datos (determina la ley aplicable
en cada caso)
Medidas de seguridad
Equipo Humano que realiza el tratamiento de los datos
Controles de acceso a la información
El Proveedor para ser considerado transparente, debe facilitar información al Cliente sobre
los mecanismos concretos que permiten cumplir con lo requisitos de la normativa de
protección de datos. Gracias a esta comunicación se evita Falta de Transparencia y Falta de
Control.
6. Transparencia en la Contratación
Cuando Cliente y Prestador de Servicios actúan con Diligencia, uno asegurando el
cumplimiento de la normativa y el otro facilitando la información que atestigue su
cumplimiento, se produce la aplicación del
Principio de Transparencia
Para asegurar la transparencia el Cliente se pueden emplear estas preguntas
1. ¿Qué debo analizar y tener en cuenta antes de contratar servicios de cloud computing?
2. Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un
servicio de cloud?
3. ¿Cuál es la legislación aplicable?
4. ¿Cuáles son mis obligaciones como cliente?
5. ¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?
6. ¿Qué garantías se consideran adecuadas para las transferencias internacionales de datos?
7. ¿Qué medidas de seguridad son exigibles?
8. ¿Cómo puedo garantizar o asegurarme que se cumplen las medidas de seguridad?
9. ¿Qué compromisos de confidencialidad de los datos personales debo exigir?
10. ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable?
(portabilidad)
11. ¿Cómo puedo asegurarme de que el proveedor de cloud no conserva los datos personales si se
extingue el contrato?
12. ¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelación
y oposición (derechos ARCO)?
7. Implantación de un Servicio Cloud Computing: tipos de Nubes
Desde el punto de la aplicación de la Normativa de
Protección de Datos:
Nube Pública: El proveedor de servicios de cloud proporciona sus recursos de forma abierta a
entidades heterogéneas, sin más relación entre sí que haber cerrado un contrato con el mismo
proveedor de servicio.
Nube Privada: cuando una entidad realiza la gestión y administración de sus servicios en la nube
para las partes que la forman, sin que en la misma puedan participar entidades externas y
manteniendo el control sobre ella. Una Nube Privada no necesariamente se implementa por la
misma entidad que la utiliza, sino que puede contratarse a un tercero que actuará bajo su
supervisión y en función de sus necesidades. Las entidades que optan por las Nubes Privadas son
aquellas que son complejas y necesitan centralizar los recursos informáticos y, a la vez, ofrecer
flexibilidad en la disponibilidad de los mismos, por ejemplo, administraciones públicas y grandes.
Otros formatos: Soluciones intermedias respecto a las dos anteriores
o Nubes Híbridas, en las que determinados servicios se ofrecen de forma pública y
otros de forma privada.
o Nubes Comunitarias, cuando dichos servicios son compartidos en una comunidad cerrada.
o Nubes Privadas Virtuales, cuando sobre Nubes Públicas se implementan garantías
adicionales de seguridad.
8. Implantación de un Servicio Cloud Computing: tipos de Contratos
Contratos de Adhesión (cláusulas contractuales cerradas): El proveedor de cloud fija las condiciones
con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para
negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en
una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor).
Contrato Negociado: El Cliente tiene la capacidad para fijar las condiciones de contratación en función
del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de
subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de
adecuación a la regulación española y a las restricciones que esta regulación implica.
9. Garantías que deben incorporarse al Contrato
Contratos de prestación de servicios, tienen que reflejar lo expuesto en el art. 12 de la
LOPD:
El encargado del tratamiento (proveedor) únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento (cliente), que no los aplicará o utilizará con fin distinto
al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Cumplido el contrato, los datos de carácter personal deberán ser destruidos o devueltos al
responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato
de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento (proveedor) destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también
responsable del tratamiento (cliente), respondiendo de las infracciones en que hubiera incurrido
personalmente.
10. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado ya provengan de la
acción humana o del medio físico o natural
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se
determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de
tratamiento, locales, equipos, sistemas y programas.
Garantías que deben incorporarse al Contrato
Art 9, sobre Seguridad de Datos
11. Garantías que deben incorporarse al Contrato
Portabilidad
La garantía de que el Cliente pueda recuperar íntegramente los datos personales que están
albergados en el proveedor de servicios o que estos sean transferidos a un nuevo proveedor de
servicios cuando finalice la prestación contractual en el momento que finalice la prestación
contractual.
El contrato debe incluir soluciones específicas para garantizar esa portabilidad, adaptadas a las
distintas modalidades de cloud y al tipo de servicios que se ofrezcan.
Prestación de Servicios por terceras empresas subcontradas
La identificación de los servicios y la empresa a subcontratar informando de ello al Cliente (incluido el
país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas.
La celebración de un contrato entre el prestador de servicios de cloud computing y los subcontratistas
con garantías equivalentes a las incluidas en el contrato con el cliente.
Estas garantías también han de proporcionarlas aquellas compañías que actúan como partners de
otros proveedores de cloud computing.
Reseller, Agregadores de servicios
cloud, cloud builders, proveedores de
aplicaciones
12. Recomendaciones en materia contractual de la LOPD
Revisar y Adaptar los contratos teniendo en cuenta los criterios recogidos en la guía de la AGPD.
Informar a los clientes, si no los cumplen, de la necesidad de adoptar estas garantías.
13. Transferencias Internacionales de Datos: garantías para Clientes y Usuarios
Cesiones de datos a terceros países que implica la prestación de servicios cloud.
Mecanismos para permitir que las subcontrataciones relacionadas con transferencias internacionales
se gestionen con fluidez, asegurando que el cliente responsable tiene información suficiente sobre los
subcontratistas, o potenciales subcontratistas, y mantiene la capacidad de tomar decisiones.
Las transferencias de datos no tendrán carácter internacional bajo este marco legal cuando se lleven
a cabo en la Unión Europea o dentro del Acuerdo sobre el Espacio Económico Europeo.
14. Derechos ARCO: garantías para Clientes y Usuarios
Derechos de Acceso, Rectificación, Cancelación y Oposición (art. 15, 16 y 17 de la LOPD).
El Cliente en calidad de responsable del tratamiento de los datos personales es el responsable
directo que tiene que garantizar el ejercicio en los plazos legales de los Derechos ARCO a los
interesados.
Para garantizar el ejercicio de los Derechos ARCO es posible que precise la colaboración del
Prestador de Servicios, el cual deberá:
Tener prevista dicha colaboración en su oferta de servicios.
Facilitar información al cliente relacionada con dicha colaboración
15. Contratación con Administraciones Públicas
Obligaciones legales cuando el Cliente es la Administración Pública
LOPD
Disposición adicional vigésimo sexta sobre “Protección de datos de carácter personal” del Real
Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la
Ley de Contratos del Sector Público, texto que reproduce esencialmente las obligaciones
descritas en la LOPD, incluidos los supuestos de subcontrataciones.
Ley 11/2007, de 22 de junio, de Acceso electrónico de los Ciudadanos a los Servicios
Públicos y el Real Decreto 1671/2009 que la desarrolla parcialmente.
Ofrecer servicios adaptados al Esquema Nacional de Interoperabilidad (RD 3/2010 y 4/2010,
de 8 de enero).
Cuando al realizarse transferencias internacionales de datos, autoridades de terceros países
requieran acceder a la información, el Proveedor de Servicios Cloud debe informar sobre esta
posibilidad y sobre las opciones que las Administración que contrate los servicios puede adoptar sobre
ella.
16. Contratación con Administraciones Públicas: Contrato
Contrato escrito (art. 12 de LOPD y 21 y 22 de su reglamento)
Ley de Contratos del Sector Público
El prestador de servicios tendrá la consideración de encargado de tratamiento.
Al término de la prestación contractual los datos de carácter personal deberán ser destruidos
o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta
hubiese designado (portabilidad).
Subcontratación de Servicios por parte de los Prestadores de Servicios
Que dicho tratamiento se especifique en el contrato (pregunta número 4).
Que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la
administración que actúa como responsable del tratamiento. (preguntas número 5 y 6).
Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en
los términos previstos en el artículo 12.2 de la LOPD (el encargado del tratamiento únicamente
tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los
aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera
para su conservación, a otras personas).
Contratos deben especificar medidas técnicas y organizativas que el prestador de servicios va a
poner en funcionamiento para garantizar la seguridad de los datos
Acuerdo de Nivel de Servicio (SLA) en el contrato en el caso de especiales requisitos de
disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos
prestados por las Administraciones Públicas como las Sedes Electrónicas.
La complejidad de los servicios contratados puede aconsejar la designación de un responsable
del contrato (art. 52, Ley de Contratos con el Sector Público)
17. Contratación con Administraciones Públicas: Seguridad
La prestación de servicios por encargados de tratamiento en cloud debería quedar claramente
identificada en el documento de seguridad (Título VIII, Capítulo II, art. 88 de RLOPD). Asimismo, el
acceso a la información debe reunir un nivel de medidas de seguridad equivalente al de los accesos en
modo local, en la forma dispuesta por el Título VIII del RLOPD.
Aspectos de la implantación relacionados con el Esquema Nacional de Seguridad:
Análisis y gestión de riesgos: La migración de servicios y aplicaciones a entornos de cloud
computing debe ser objeto de un análisis de riesgos que, en función de la sensibilidad de los
datos y el nivel de amenazas, determine la conveniencia de esta solución y, en caso afirmativo, los
controles y salvaguardas que deben implantarse para mitigar los riesgos hasta un nivel aceptable.
Profesionalidad: En cualquier modalidad de prestación, la seguridad esté atendida, revisada y
auditada por personal cualificado.
Protección de la información almacenada y en tránsito: Debido a la especial sensibilidad de
los datos tratados por las Administraciones Públicas, la aplicación de técnicas robustas de cifrado
tanto a los datos en tránsito como a los datos almacenados para garantizar su confidencialidad.
Asimismo, realización de copias de respaldo de la información de forma que se garantice la plena
disponibilidad e integridad de los datos almacenados.
Incidentes de seguridad y continuidad de la actividad: adecuada gestión de las incidencias de
seguridad y mecanismos que garanticen la continuidad de las operaciones en caso de catástrofes
o incidentes severos.
Auditoría de la seguridad: Realización de las auditorías de seguridad ordinarias y
extraordinarias previstas en el artículo 34 del ENS.
18. Contratación con Administraciones Públicas: Portabilidad e Interoperabilidad
La contratación de servicios de cloud computing por parte de las Administraciones Públicas debe
garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de los derechos de
acceso por parte de los ciudadanos, mediante el uso de formatos estandarizados de datos que
cumplan los requisitos establecidos en el Esquema Nacional de Interoperabilidad:
Los documentos y servicios de administración electrónica que se pongan a disposición de los
ciudadanos o de otras Administraciones Públicas deben encontrarse disponibles, como mínimo,
mediante estándares abiertos. Asimismo, deben ser visualizables, accesibles y funcionalmente
operables en condiciones que permitan satisfacer el principio de neutralidad tecnológica y
eviten la discriminación a los ciudadanos por razón de su elección tecnológica.
Deben adoptarse medidas organizativas y técnicas necesarias con el fin de garantizar la
interoperabilidad en relación con la recuperación y conservación de los documentos electrónicos
a lo largo de su ciclo de vida.
Conservación de los documentos electrónicos en el formato en el que hayan sido elaborados,
enviados o recibidos, y preferentemente en un formato correspondiente a un estándar abierto
que preserve a lo largo del tiempo la integridad del contenido de los documentos, de la firma
electrónica y de los metadatos que lo acompañan.