Diez preguntas antes de contratar servicios Cloud Computing
La Agencia Española de Protección de Datos ha publicado una Guía para orientar a futuros clientes que desean contratar servicios Cloud Computing, resolviendo algunas de las principales preguntas que el usuario se realiza. Algunos de los problemas más frecuentes de la computación en la nube son la falta de control y transparencia, así como la poca información clara sobre las garantías que se ofrecen en materia de protección de datos.
La AEPD ha recordado, especialmente, que la responsabilidad es siempre del usuario, y que para ello es imprescindible una buena información de servicio que se va a contratar y de las especificidades de su gestión.
La guía se articula sobre un cuestionario de diez preguntas que el cliente debe plantearse antes de contratar servicios Cloud Computing.
1 ¿Qué debo analizar y tener en cuenta antes de contratar servicios de Cloud Computing?
– Evaluar el tipo de datos que trata atendiendo a su mayor o menor sensibilidad.
– Informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios (vea la introducción de esta guía).
– Con estos datos decidir para qué datos personales contratará servicios de cloud computing y cuáles prefiere mantener en sus propios sistemas de información.
2 ¿Cuál es mi papel como cliente de un servicio Cloud, desde el punto de vista de la normativa de protección de datos?
– El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional.
– El que ofrece la contratación de cloud computing es un prestador de servicios que en la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.
3 ¿Cuál es la legislación aplicable?
– La normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).
– La aplicación de la legislación española no puede modificarse contractualmente.
4 ¿Cuáles son mis obligaciones como cliente?
– Solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios de cloud computing.
Lo habitual es que intervengan terceras empresas. De ser así:
- Tiene que dar su conformidad a la participación de terceras empresas. Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros.
- Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web o a través de otras opciones que le facilite el prestador del servicio).
5 ¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?
– La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren. Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos.
– Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
6 ¿Qué compromisos de confidencialidad de los datos personales debo exigir?
– El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.
7 ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable?
– El proveedor debe estar obligado, cuando finalice el servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
8 ¿Cómo puedo asegurarme de que el proveedor de ‘cloud’ no conserva los datos personales si se extingue el contrato?
– Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero).
9 ¿Qué medidas de seguridad son exigibles?
– El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local. Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y garantiza.
10 ¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO)?
– El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos.