Marketing publicidad

Servicios cloud a tener en cuenta con la LOPD.

RIESGOS DE LA COMPUTACIÓN EN ‘NUBE’

JUAN ORTEGA / Podemos agrupar los riesgos en dos grandes categorías: falta de transparencia sobre las condiciones en las que se presta el servicio y falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.

FALTA DE TRANSPARENCIA

Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de sub-encargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.

FALTA DE CONTROL

Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.

 computación en nube

1.¿Cuál es la legislación aplicable?

El modelo de cloud computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso:

  • El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre de los datos por lo que la normativa aplicable al cliente y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).
  • La aplicación de la legislación española no puede modificarse contractualmente.
  • Aunque le informen de que los datos personales están disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio. (Si quiere más información sobre la disociación de datos haga clic aquí).

2. ¿Cuáles son mis obligaciones como cliente?

  • Debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios de cloud computing.
  • Lo habitual es que intervengan terceras empresas. De ser así:
  1. Tiene que dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros.
  2. Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web o a través de otras opciones que le facilite el prestador del servicio).
  3. El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
  4. El contrato que firma ha de incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes preguntas.

3.¿Cómo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad?

  • Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.
  • El proveedor de cloud computing le acredita que dispone de una certificación de seguridad adecuada.
  • Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.
  • Solicite información al proveedor de cloud sobre cómo se auditarán las medidas de seguridad.


¿Quiéres Valorar el artículo?

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (No Puntuado)
Cargando…

Sé generoso. Comparte :)

¿Quién ha escrito esto?

Ana Marin

Community Manager en marketingpublicidad

Comenta, queremos saber tu opinión