04 May ¿Están seguros los datos “en la nube”? Cloud computing y protección de datos.
Fuente de la imagen: eldiario.es
El cloud computing es, según wikipedia “un paradigma que permite ofrecer servicios de computación a través de Internet” y continua: «Cloud computing» es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite incluso al usuario acceder a un catálogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad o de organizaciones sin ánimo de lucro.
La Agencia Española de Protección de datos, establece que “el cloud computing o computación en nube es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública.
Una solución cloud computing permite al usuario optimizar la asignación y el coste de los recursos asociados a sus necesidades de tratamiento de información. El usuario no tiene necesidad de realizar inversiones en infraestructura sino que utiliza la que pone a su disposición el prestador del servicio, garantizando que no se generan situaciones de falta o exceso de recursos, así como el sobrecoste asociado a dichas situaciones.
En un entorno de cloud computing la gestión de la información está de forma virtual en manos del cliente que contrata los servicios de la nube, que la trata a través de Internet accediendo a soluciones de bases de datos, correo electrónico, nóminas o gestión de recursos humanos de acuerdo a sus necesidades. En función del modelo utilizado, los datos pueden no estar realmente en manos del contratista, toda vez que la propiedad, el mantenimiento y gestión del soporte físico de la información, los procesos y las comunicaciones pueden encontrarse en manos de terceros.
El proveedor del servicio puede encontrarse en, prácticamente, cualquier lugar del mundoy su objetivo último será proporcionar los servicios citados optimizando sus propios recursos a través de, por ejemplo, prácticas de deslocalización, compartición de recursos y movilidad o realizando subcontrataciones adicionales.”
Una de las principales desventajas que presentan estos “servicios en la nube”, es que los datos del negocio no residen en las instalaciones de las empresas, lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información. En este aspecto hay que recordar que el art. 9 de la Ley Orgánica de Protección de Datos (en adelante LOPD) dice respecto a la seguridad de los datos que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Igualmente contempla que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
Por otra parte, los prestadores de este tipo de servicios, normalmente, tendrán acceso a los datos del responsable del fichero, como consecuencia de la ejecución de dicho servicio y tal y como se expone anteriormente, deberán adoptar las medidas necesarias que garanticen la seguridad de los datos. Resulta indispensable entonces delimitar las funciones de estos encargados del tratamiento, mediante algún contrato firmado entre las partes en el que se establezcan entre otros extremos la posible subcontratación de algún servicio, el destino, conservación o en su caso destrucción de los datos una vez concluida la relación entre las partes, etc. en definitiva las garantías a las que obliga la Ley Orgánica de Protección de Datos.
Otro problema añadido es la ubicación real de esos “datos en la nube”.
Es importante identificar qué proveedores de cloud están localizados dentro del Espacio Económico Europeo o en países que de una u otra forma garanticen un nivel adecuado de protección de los datos de carácter personal. Esta localización afecta no sólo a la sede del proveedor de cloud, sino también a la localización de cada uno de los recursos físicos que emplea para implementar el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la localización de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre.
Para la Ley de Protección de Datos, es determinante esta apreciación ya que, dependiendo de que los datos se encuentren en España o en otro país, habrá que establecer si la cesión de esos datos constituye una “transferencia internacional de datos” o no, ya que las consecuencias legales de un tratamiento u otro, son diferentes.
Es importante resaltar que la transferencia internacional es sin duda alguna una de las situaciones más complicadas de regular jurídicamente en materia de protección de datos de carácter personal, al mismo tiempo que, junto con las cesiones de datos, una de las más críticas en lo que a sanciones corresponde.
Si la información, se encuentra en países del Espacio Económico Europeo, se entiende que ofrecen garantías suficientes para la protección de los datos y no se considera legalmente que exista una transferencia internacional de datos.
Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea.
En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
Así mismo, si el servicio es proporcionado por las empresas ubicadas en los Estados Unidosque hayan suscrito los principios de Puerto Seguro, igualmente será suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos.
En cualquier otro caso, la transferencia internacional de datos necesitará autorización del Director de la Agencia Española de Protección de Datos, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas.
Por último recordar que no todos los servicios y proveedores de cloud computing son iguales, ni lo son las posibles relaciones que se establecen entre clientes y proveedores. Las nubes se pueden clasificar de muchas formas atendiendo a varios criterios y lo que más interesa, desde el punto de vista de la normativa española de protección de datos, es cómo afectan dichas modalidades de implementación al tratamiento de datos de carácter personal, con el fin de dar cumplimiento a todas las garantías impuestas por la Ley.