Desde hace bastante tiempo, dentro de las nuevas tecnologías de la información y la comunicación, estamos escuchando terminología relacionada con nuevas realidades informáticas que se han implementado en nuestra vida cotidiana casi sin conocerlas.
Los conceptos de Cloud Computing, hosting, housing, data center, servers, están en uso en la forma de trabajar de muchas entidades, organismos públicos, pymes y autónomos.
Es por ello por lo que, en la presente entrada, intentaremos explicar de manos de la propia agencia Española de Protección de datos y del Consejo general de la Abogacía española, en qué consiste, cuáles son sus ventajas e inconvenientes, y sobre todo las implicaciones prácticas que este tipo de servicios tienen en materia de protección de datos.
Para estudiar este conjunto de términos podemos basarnos en la definición que hace la propia Agencia Española de Protección de Datos, que los muestra como un modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de servicios (correo electrónico, almacenamiento de documentos, aplicaciones de contabilidad o gestión del despacho, bases de datos de jurisprudencia o legislación, compartir documentación e información con clientes y/o con otros despachos, etc.) sin necesidad de disponer de servidores o de software en la propia empresa. Los datos y las aplicaciones se encuentran en algún lugar de Internet, que se representa frecuentemente como una nube. De ahí el término Cloud Computing.
Este tipo de servicios tiene unos beneficios claramente visibles entre los que podemos destacar:
- Posibilidad de acceder remotamente desde cualquier lugar con acceso a internet a la información relacionada con tu negocio.
- Disminución del coste tradicional de servidores propios, ya que no tendremos que obtener , ni mantener servidores propios físicos en nuestra entidad.
- Mejor seguridad en cuanto al acceso, copias de seguridad y respaldo de los datos.
- Mejor operatividad ya que este tipo de tecnologías cuentan con un tiempo de respuesta menor que los servidores tradicionales.
- Beneficio medioambiental, ya que se reduce el consumo de energía y de materiales necesarios para la fabricación de componentes electrónicos.
- Elasticidad: Los recursos se asignan y liberan rápidamente, muchas veces de forma automática, lo que da al usuario la impresión de que los recursos a su alcance son ilimitados y están siempre disponibles.
En cuanto a las implicaciones que tiene en materia de protección de datos, debemos indicar los siguientes extremos:
- Como cuestión previa, tanto el cliente que contrata estos servicios como el propio prestador de los mismos, han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
- Debemos asegurarnos de que el proveedor de servicios cubre todos los requisitos de confidencialidad, seguridad e integridad de los datos de nuestra empresa que hemos depositado allí; que garantiza que no se pueden perder y que estarán siempre disponibles para su uso sólo por quien lo ha contratado, así como que cumple la legislación aplicable a nivel nacional y europeo.
- El prestador de servicios de «Cloud Computing» tendrá la condición de encargado del tratamiento (art. 3.g de la LOPD y art. 5.1.i del RLOPD), pues en definitiva trata datos personales por cuenta del responsable. Esta relación supone la obligación de establecer contratos de acceso a los datos por cuenta de terceros que regulen el acceso a los datos con la finalidad establecida en la prestación de servicios de cloud computing.
- Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad, para la prestación del servicio, dicha subcontratación se recogerá en el contrato de prestación de servicios.
- Se deberán establecer las medidas de seguridad también a estos tipos de tratamientos informáticos, por lo que a través de esta nueva forma de trabajar se tendrá que hacer y revisar la correcta realización de las copias de seguridad y respaldo, control de accesos, asignación y cambio periódico de contraseñas para los usuarios, gestión y reporte de las incidencias.
Además se deben exigir una serie de garantías y obligaciones también para el prestador de servicio Cloud:
- En primer lugar debe de ser una entidad que cumpla con sus propias obligaciones en materia de protección de datos. En concreto cumplimiento legislación nacional e internacional aplicable en función de la territorialidad y específicamente en materia de protección de datos. El proveedor debe asumir su papel como encargado de tratamiento de ficheros. En este sentido, el responsable del tratamiento podrá solicitar acreditación del cumplimiento normativo en este sentido de sus encargados del tratamiento.
- Disponibilidad permanente del servicio de la información, con las limitaciones únicas del estado operativo de la red de internet.
- Gestión e información clara de las subcontrataciones para el tratamiento de la información por parte de la entidad prestadora de los servicios.
- El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
- Garantía en el acceso a los datos: la información sólo puede ser accesible para la entidad que lo ha contratado.
- Integridad y conservación de los datos; gestión de copias de seguridad, recuperación ante desastres, continuidad del servicio.
- El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al cliente el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas.
Más información en relación al Cloud Computing en los siguiente enlaces de la Agencia Española de protección de Datos:
Esperamos haberte servido de ayuda a la hora de aclarar conceptos y responsabilidades en este tema. Si tienes cualquier duda relacionada con la Protección de Datos Personales, estamos a tu disposición.
José Luis Fernández Peña
Auditor / Consultor en GrupoIWI Protección de Datos
