domingo, 22 de junio de 2014

DECLARACIÓN DEL GT29 SOBRE EL PAPEL DE UN ENFOQUE BASADO EN EL RIESGO EN LOS MARCOS LEGALES DE PROTECCIÓN DE DATOS


Resumen: El grupo de trabajo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014, el documento “Declaración del GT29 sobre el papel de un enfoque basado en el riesgo en los marcos legales de protección de datos” que puede consultarse íntegro (en inglés) en el apartado de bibliografía. [1] Viene a decir que los principios fundamentales, que protegen los derechos de los interesados, deben permanecer inalterables con independencia de cuál sea la evaluación y tratamiento posterior del riesgo por parte del responsable. Por su interés presento esta traducción “no oficial” adaptada al estilo y formato del blog.


Declaración emitida por:
Colaboración
Grupo consultivo europeo del Artículo 29
 
Actualizado
 
22 de junio de 2014
 

ÍNDICE
1. ENFOQUE BASADO EN EL RIESGO
2. MENSAJES CLAVE DEL GT29
3. AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO
4. BIBLIOGRAFÍA REFERENCIADA
5. DERECHOS DE AUTOR

1. ENFOQUE BASADO EN EL RIESGO

El GT29 siempre ha apoyado la inclusión de un enfoque basado en el riesgo en los marcos legales de protección de datos de la UE. En particular, su declaración de 27 de febrero de 2013 en los debates actuales sobre el paquete de reformas de la protección de datos contenía la siguiente referencia específica al enfoque basado en el riesgo:

 

"El Grupo de Trabajo reconoce que algunas de las disposiciones del Reglamento propuesto representan una carga para ciertos responsables que puede ser percibida como desequilibrada.

Como ya se expresó en dictámenes anteriores, somos de la opinión de que todas las obligaciones deben ser escalables para todos los tratamientos relacionados con el responsable y el encargado.

El cumplimiento nunca debe limitarse a un ejercicio de “marcar casillas en un formulario”, debiendo garantizarse en la realidad que los datos personales están suficientemente protegidos. El cómo se hace esto puede diferir según el responsable...

Los interesados deben tener el mismo nivel de protección, con independencia del tamaño de la organización o de la cantidad de datos que ésta procesa. En consecuencia, el Grupo de Trabajo considera que todos los responsables deben actuar en el cumplimiento de la ley, aunque esto se pueda hacer de un modo escalable".
 

A pesar de ello, al Grupo de Trabajo le preocupa que en relación con los debates sobre el nuevo marco jurídico de la UE para la protección de datos, e incluso de forma más amplia, el enfoque basado en el riesgo se presenta cada vez más, y sin razón, como una alternativa a los derechos y principios de protección de datos bien establecidos en vez de como un enfoque escalable y proporcional de cumplimiento. El propósito de esta declaración es para dejar las cosas claras.
 

El llamado "enfoque basado en el riesgo" no es un concepto nuevo, puesto que ya es bien conocido por la Directiva 95/46/CE [2] vigente sobre todo en lo referente a la seguridad (artículo 17) y las obligaciones de control previo por parte de la Autoridad de Control - DPA (artículo 20). El régimen jurídico aplicable al tratamiento de categorías especiales de datos (artículo 8) también puede ser considerado como la aplicación de un enfoque basado en el riesgo: Las obligaciones reforzadas son consecuencia de tratamientos que se consideran arriesgados para los afectados.

 

NOTA del EDITOR: Para facilitar la comprobación de las referencias en el texto de la declaración, recuerdo que la actual Directiva europea 95/46/CE, dispone:

Artículo 17. Seguridad del tratamiento. (…) Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

Artículo 20. Controles previos. 1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

 

No obstante, es importante tener en cuenta que - incluso con la adopción de un enfoque basado en el riesgo - no es cuestionable que los derechos de los individuos se vean debilitados respecto de sus datos personales.

 

Estos derechos deben ser igual de fuertes, incluso si el tratamiento en cuestión es relativamente de "bajo riesgo". Más bien, la escalabilidad de las obligaciones legales en función del riesgo influirá en los mecanismos de cumplimiento.

Esto significa que un responsable cuyo tratamiento de datos es relativamente de bajo riesgo no tendrá que hacer tanto para cumplir con sus obligaciones legales como otro responsable cuyos tratamientos de datos sean de alto riesgo…

 

Sin embargo, el enfoque basado en el riesgo ha ganado mucha más atención en los debates celebrados en el Parlamento Europeo y en el Consejo sobre la propuesta del Reglamento General de Protección de Datos. [5] [6] Se ha introducido recientemente como un elemento central del propio principio de rendición de cuentas (artículo 22). Además de la obligación de seguridad (artículo 30) y la obligación de llevar a cabo una evaluación de impacto (artículo 33) ya se percibe en la propuesta de Reglamento el enfoque basado en el riesgo que se ha extendido y se refleja en otras medidas de aplicación tales como el principio de protección de datos desde el diseño (artículo 23), la obligación de documentar (artículo 28) y el uso de la certificación y de los códigos de conducta (artículos 38 y 39).

 

Es evidente, pues, que el proyecto de Reglamento contiene ya las herramientas - por ejemplo en el artículo 33 en relación con la evaluación de impacto en la privacidad (PIA) [4] – para prever una evaluación fiable y relativamente objetiva del riesgo.

 

Paralelamente, el concepto se ha promovido en los debates públicos sobre regulación de protección de datos en el contexto del "Big Data". Sus promotores sostienen que el recabado de datos ya no debería considerarse el foco principal de la regulación y que el cumplimiento legal debería más bien pasar a la formulación de la utilización de datos. Para cumplir, se aboga por un fuerte enfoque que tenga en cuenta los daños y que ayude a promover un uso responsable de los datos basado en la gestión del riesgo.

 

Por último, ha habido intensos debates en el Parlamento y el Consejo Europeos sobre la aplicación de un régimen jurídico más claro para los datos de seudónimos o “pseudo-anonimizados” teniendo en cuenta que, debido a su naturaleza percibida como menos identificable, los riesgos de privacidad de los interesados se ven reducidos.

 

2. MENSAJES CLAVE DEL GT29

Todos estos elementos contextuales y de fondo muestran la necesidad imperiosa de que el Grupo de Trabajo comunique los siguientes mensajes clave sobre este tema:
 
 
 
 
 
 
  • La protección de los datos personales es un Derecho Fundamental de acuerdo con el artículo 8 de la Carta de los Derechos Fundamentales. Cualquier operación de tratamiento, desde el recabado hasta el uso y la divulgación, debe respetar este derecho fundamental.
  • Los derechos otorgados a los interesados, por la ley de la UE, deben ser respetados sin importar el nivel de los riesgos en que los responsables incurran a través de los tratamientos de datos relacionados con ellos (por ejemplo, el derecho de acceso, rectificación, cancelación, oposición, transparencia, derecho al olvido, o el derecho a la portabilidad de los datos).
  • Pueden haber diferentes niveles de obligaciones de rendición de cuentas en función del riesgo que supone el tratamiento en cuestión. Sin embargo, los responsables del tratamiento siempre deben responder del cumplimiento de las obligaciones de protección de datos, que incluyen la demostración del cumplimiento con respecto a los tratamientos de datos, independientemente de la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos que representen para los interesados.
  • Los principios fundamentales aplicables a los responsables (por ejemplo la legitimidad, la minimización de los datos, la limitación de la finalidad, la transparencia, la integridad de los datos, calidad de los datos) deben permanecer inalterados, sea cual sea el tratamiento y los riesgos para los interesados. Sin embargo, teniendo en cuenta la naturaleza y el alcance de esos tratamientos y habiéndose considerado siempre la aplicación integral de estos principios, pueden ser inherentemente escalables.
  • La implementación de las obligaciones de rendición de cuentas, a través de herramientas y mediciones, para los responsables (por ejemplo, la evaluación del impacto en la privacidad (PIA), la protección de datos desde el diseño (PbD), la notificación de brechas o violaciones de los datos, medidas de seguridad, certificaciones) puede y debe variar de acuerdo con el tipo de tratamiento y los riesgos de privacidad para los interesados. Debe reconocerse  que no siempre son necesarias todas las obligaciones de rendición de cuentas en todos los casos, por ejemplo, cuando el tratamiento es a pequeña escala, simple y de bajo riesgo.
  • El modo de documentar las actividades de los procesos puede variar de acuerdo con el riesgo que supone el tratamiento. Sin embargo, todos los responsables de datos deben reflejar, por lo menos en cierta medida, en un documento sus actividades de tratamiento con el fin de promover la transparencia y la rendición de cuentas. La documentación es una herramienta interna indispensable de los responsables para gestionar de manera efectiva la rendición de cuentas y el control a posteriori por las Autoridades de Control (DPAs), así como para el ejercicio de derechos por parte de los interesados. Va más allá de la información que debe darse a los titulares de los datos.
  • Los riesgos, que se relacionan con posibles impactos negativos en los derechos, libertades e intereses del afectado, deben determinarse teniendo en cuenta criterios objetivos específicos tales como: La naturaleza de los datos personales (por ejemplo, sensibles o no), la categoría de los interesados (por ejemplo, menor o no), el número de sujetos afectados, y la finalidad del tratamiento. La gravedad y la probabilidad de los impactos en los derechos y libertades fundamentales del interesado constituyen elementos a tener en cuenta para evaluar los riesgos relacionados con la privacidad del individuo. El Reglamento propuesto - por ejemplo el artículo 33 - ya contiene los criterios necesarios para evaluar el riesgo para la privacidad que plantea un tratamiento en particular.
  • En el contexto mencionado anteriormente, el ámbito de "los derechos y libertades" de los interesados se refiere principalmente el derecho a la privacidad, pero también puede afectar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, libertad de movimiento, la prohibición de discriminación, el derecho a la libertad de conciencia y de religión.
  • El enfoque basado en el riesgo requiere de medidas adicionales cuando los riesgos específicos son identificados (por ejemplo, la evaluación de impacto, seguridad mejorada, la notificación de violación de datos) y la Autoridad de Control (DPA) debe ser consultada cuando el tratamiento de alto riesgo ha sido identificado por una evaluación de impacto (artículo 34 del proyecto de regulación).
  • En su declaración de 27 de febrero de 2013, [7] el Grupo de Trabajo recordó que las normas de protección de datos siguen siendo de aplicación a los datos de seudónimos o cifrado donde es posible “dar marcha atrás” al dato identificativo de un individuo o (indirectamente) identificar a un individuo por otros medios (véase la página 1 de la declaración). Sin embargo, también reconoció que el uso de técnicas de “pseudo-anonimización” o disfrazar identidades para permitir el recabado de datos en relación con el mismo individuo, sin necesidad de tener que conocer su identidad, puede ayudar a reducir los riesgos para las personas. Por tanto, estas técnicas representan importantes salvaguardas, que pueden ser tenidas en cuenta al evaluar el cumplimiento. No obstante, el uso de los datos con seudónimo o “pseudo-anonimizados”, en sí mismo, no es suficiente para justificar un régimen más ligero en las obligaciones de rendición de cuentas.
  • El “enfoque basado en el riesgo” va más allá, de un estrecho "enfoque basado en el daño" que se concentra sólo en los daños, y debe tener en cuenta todas las posibilidades, así como el efecto negativo real, evaluadas en una escala muy amplia que va desde un impacto en la persona afectada por el tratamiento en cuestión a un impacto en la sociedad en general (por ejemplo, pérdida de la confianza social).
  • El interés legítimo perseguido por el responsable del tratamiento, o por un tercero, no es relevante para la evaluación de los riesgos para con los interesados. Es en la aplicación de la prueba de equilibrio, según los criterios para legitimar el tratamiento de la información según la Directiva (artículo 7 f.) o la propuesta de reglamento (artículo 6 f.), que el interés legítimo debe ser tenido en cuenta.

 

 

3. AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO

El papel de las Autoridades de Control (DPAs) en relación con el enfoque basado en el riesgo, dentro del marco del futuro reglamento, consistirá en:


 
 
  • La actualización de una lista de tratamientos que se puede considerar que presentan riesgos específicos por su esencia (artículo 33 del proyecto de reglamento).
  • El desarrollo de directrices sobre las evaluaciones de impacto y en otras herramientas de rendición de cuentas (como lo hicieron la CNIL y el ICO con su metodología de gestión del riesgo para la privacidad). NOTA DEL EDITOR: En España la AEPD presentó también su borrador de la “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”, en marzo de 2014. [3]
  • La realización de los procedimientos de ejecución en caso de incumplimiento de los responsables, lo que puede implicar el desafío de un análisis de riesgos, evaluación de impacto, así como cualesquiera otras medidas llevadas a cabo por los responsables del tratamiento.
  • Focalizar en la acción de cumplimiento y la actividad de control en áreas de mayor riesgo.

4. BIBLIOGRAFÍA REFERENCIADA

- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Statement on the role of a risk-based approach in data protection legal frameworks”. Adopted on 30 May 2014. 14/EN. WP 218.
WP 218

- [2] Parlamento Europeo y Consejo de la Unión Europea. “Directiva 95/46/CE del parlamento europeo y del consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”. 24 de octubre de 1995.
Directiva 95/46/CE

- [3] AEPD (Agencia Española de Protección de Datos). “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”. Marzo de 2014. BORRADOR.
Guía para EIPD

- [4] José Luis Colom Planas. “Consideraciones teórico-prácticas sobre el proceso de elaborar un PIA”. 13 de abril de 2014. Blog Aspectos profesionales.

El proceso de elaborar un PIA

- [5] COMISIÓN EUROPEA. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”. Bruselas, 25 de enero de 2012.
Propuesta RGPDUE

- [6] PARLAMENTO EUROPEO. “Texto aprobado – Protección de las personas físicas en lo que respecta al tratamiento de datos personales”. Procedimiento 2012/0011(COD). Ciclo relativo al documento A7-0402/2013. 12 de marzo de 2014.
Modificaciones aprobadas a la propuesta de RGPDUE

- [7] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Statement of the Working Party on current discussions regarding the data protection reform package”. Statement 27 February 2013.
Data protection reform
 

5. DERECHOS DE AUTOR

This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

Copyright notice: © European Union, 1995-2014

Reuse is authorised, provided the source is acknowledged. The reuse policy of the European Commission is implemented by a Decision of 12 December 2011.

The general principle of reuse can be subject to conditions which may be specified in individual copyright notices. Therefore users are advised to refer to the copyright notices of the individual websites maintained under Europa and of the individual documents. Reuse is not applicable to documents subject to intellectual property rights of third parties. 

 

jueves, 15 de mayo de 2014

Riesgos en el uso de Cloud Computing para el tratamiento de datos especialmente protegidos


Resumen: Cuando se llevan al Cloud, para ser tratados allí, datos personales especialmente protegidos es cuando deben contemplarse más que nunca, si caben, los aspectos  jurídicos y las medidas de seguridad exigibles acordes con el nivel de sensibilidad de esos datos. La mayoría de las veces el análisis de la situación, en este tipo de entornos externalizados, no resulta sencillo.

Autor del artículo
Colaboración
José Luis Colom Planas
 
Actualizado
 
15 de mayo de 2014
 


ÍNDICE
1. INTRODUCCIÓN
2. POSICIONES JURÍDICAS DE CLIENTE Y PRESTADOR DEL SERVICIO
3. CONTRATO ENTRE RESPONSABLE Y ENCARGADO
4. TRANSFERENCIAS INTERNACIONALES DE DATOS
5. PRINCIPIOS DE “PUERTO SEGURO” (SAFE HARBOR)
6. EXIGENCIAS DE CUMPLIMIENTO
7. MEDIDAS DE SEGURIDAD
7.1. Introducción
7.2. Obligación de auditar
7.3. La Norma ISO 27001 y el programa STAR
8. LEGISLACIÓN APLICABLE
8.1. Introducción
8.2. Legislación europea
9. BIBLIOGRAFÍA CONSULTADA
10. DERECHOS DE AUTOR

1. INTRODUCCIÓN

Es ya una realidad el avance imparable de la entrega de servicios TIC basados en el modelo externalizado de Cloud Computing, al posibilitar éste:
 
  • Precio ajustado: Permite ajustar el precio a la demanda real (pago por uso).
  • Elasticidad: Permite crecer y decrecer, en relación a los recursos contratados, según las necesidades del momento.
  • Entorno ubicuo: Acceso simultáneo desde cualquier lugar, a cualquier hora, mediante cualquier dispositivo y cuántas personas estén autorizadas para ello…

Todas estas son suficientes ventajas que le hacen ganar adeptos (clientes y usuarios) cada día.

Pero, ¿Qué ocurre cuando queremos tratar mediante este modelo datos sensibles? ¿Y si además se tratan datos personales especialmente protegidos por la regulación aplicable en España?

Un ejemplo de este tipo de tratamientos pueden ser las contrataciones de prestadores de servicios de Cloud Computing por parte de centros de salud,  despachos de abogados y procuradores… y todos aquellos clientes que traten datos especialmente protegidos, según vienen regulados en el artículo 7 LOPD.



2. POSICIONES JURÍDICAS DE CLIENTE Y PRESTADOR DEL SERVICIO

Como regla general, la posición jurídica de quién contrata los servicios de Cloud Computing es la de responsable del fichero o tratamiento, ya sea empresa o profesional autónomo, mientras que quién presta el servicio tendrá una posición de encargado del tratamiento.

En algunos casos, sin embargo, no resulta tan sencillo identificar a los responsables del tratamiento, ya que los prestadores del servicio pueden llegar a determinar unilateralmente los medios y, a veces, incluso algunos de los fines de los tratamientos. Esta circunstancia suele darse, a menudo, en plataformas “gratuitas” donde simplemente se acuerda un pago en especies sustituyendo la transacción dineraria por la propia información.

Esta realidad choca de frente con el tipo de datos personales especialmente protegidos, cuya naturaleza exige que no puedan ser tratados como moneda de cambio.

3. CONTRATO ENTRE RESPONSABLE Y ENCARGADO


La transferencia de datos personales al Cloud no tendrá consideración de comunicación o cesión  de datos en los términos establecidos en el artículo 3.i) de la LOPD siempre que se suscriba un contrato de encargado del tratamiento (artículo 12 LOPD), en el que se determine de forma expresa:
 
  • Que el encargado del tratamiento ha de tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
  • Que el encargado no puede utilizar los datos con una finalidad diferente de la que figure en el contrato, ni comunicarlos a otras personas, ni siquiera para su conservación.
  • Las medidas de seguridad que el encargado está obligado a implementar (en este caso, y de forma acumulativa, las de nivel alto, medio y básico).
  • La devolución o la destrucción de los datos, una vez finalizada la prestación contractual.

Tratándose de datos sensibles, lo evidente es que el prestador de servicios de Cloud no puede saber de su existencia, a no ser que nosotros se lo comuniquemos de alguna manera, como puede ser en el propio contrato de encargado del tratamiento. Pensemos que las medidas de seguridad asociadas deberán corresponderse con el tipo de datos, siendo el modo de justificar éstas.

También deberán cumplirse las previsiones que se establecen en los artículos 20, 21 y 22 RLOPD.

Hay que señalar que la mera suscripción inicial, de un contrato de encargado del tratamiento, no presupone que siempre el tratamiento se lleve a cabo con todas las garantías exigibles por la normativa aplicable de protección de datos personales. Es obligación del responsable del tratamiento estar siempre vigilante, antes y después de la contratación del servicio, ya que la culpa podría consistir en una desacertada elección en base a una pobre Due Diligence previa a contratar “culpa in eligendo” o en una falta de vigilancia durante el ciclo de vida de la contratación “culpa in vigilando”.

En este sentido, el artículo 20.2. RLOPD dispone: Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.

Otras veces el contrato de encargado del tratamiento no está redactado de común acuerdo, y se apoya en las condiciones generales en las que el proveedor de Cloud presta su servicio, siendo el cliente el que debe adscribirse a la mayoría de ellas. En consecuencia, un buen consejo es negociar el contrato siempre que sea posible, o en su defecto estudiar cuidadosamente cada una de las cláusulas propuestas por los diferentes proveedores, hasta encontrar el contrato que mejor satisfaga las necesidades y la seguridad jurídica del cliente que contrata.

Debe tenerse en cuenta que a menudo las condiciones de uso, la política de privacidad o las medidas de seguridad aplicadas, pueden ser modificadas en cualquier momento sin necesidad de notificarlo previamente a sus clientes. Eso obliga a la “debida diligencia”, como hemos visto antes, no solo en la fase de pre-contratación (Artículo 20.2 RLOPD), sino durante todo el ciclo de vida del servicio externalizado en el Cloud.

Si el proveedor de Cloud trata nuestros datos en un tercer país que no esté considerado como un país con nivel adecuado de protección será necesario suscribir también, caso de que al final se autorice la TID, unas cláusulas contractuales tipo según se especifican en la Decisión de la Comisión 2010/87/UE. [5]

4. TRANSFERENCIAS INTERNACIONALES DE DATOS

Según donde se ubiquen los datos del proveedor de Cloud Computing, puede considerarse una Transferencia Internacional de Datos (TID). Desde el punto de vista de un responsable establecido en España, si el CPD del proveedor de Cloud, que alojará los datos, se encuentra fuera del Espacio Económico Europeo (EEE) se considerará una TID (Artículo 5.1.s RLOPD).

Como norma general, las TID deben contar con la autorización del Director de la Agencia Española de Protección de Datos (AEPD) (Artículos 33 LOPD y 70 RLOPD), a no ser que se dé la excepción de que el prestador de servicios de Cloud Computing se encuentre en un país de los considerados que ofrecen un nivel adecuado de protección (Artículos 34.k LOPD y 67-68 RLOPD). En ese caso deberá seguir informándose a la AEPD de la TID, pero la autorización está pre-concedida.

Los países considerados con nivel adecuado de protección para la UE son:
 
  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • EE.UU. (Puerto Seguro). Decisión de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
  • Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
  • Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

Sin embargo es importante resaltar que, en relación a los prestadores de servicios de Cloud Computing, una cosa es la empresa matriz o el centro empresarial dónde se toman las decisiones sobre cómo tratar los datos y otra distinta es dónde se almacenan los datos y se tratarán de forma efectiva. Tal casuística debe contemplarse cuando el proveedor es una multinacional con representación y centros de proceso repartidos por diferentes países del mundo, algunos dentro del EEE, otros con nivel adecuado de protección, y otros en terceros países sin las suficientes garantías.

5. PRINCIPIOS DE “PUERTO SEGURO” (SAFE HARBOR)

Es una realidad que la mayoría de empresas prestadoras de servicios de Cloud Computing son estadounidenses. Por ello analizaremos con detalle éste acuerdo.

Mediante la Decisión 2000/520/CE de la Comisión [6] de 26 de julio de 2000, se crean el acuerdo denominado Safe Harbour por el que se establecen una serie de principios en materia de protección de datos de carácter personal.

Se trata de un programa de adscripción voluntaria, basada en el principio de autorregulación, sin ningún control por parte del estado. En otras palabras, se trata de una presunción de adecuación a la protección exigida en el ámbito de la UE.

Los principios de puerto seguro son los siguientes:
 
  • Notice principle (Notificación): Las entidades adheridas tienen la obligación de informar de la utilización y finalidad de los datos de carácter personal.
  • Choice principle (Opción): Las entidades adheridas tienen la obligación de ofrecer la posibilidad de decidir si los datos de carácter personal pueden ser o no cedidos a un tercero.
  • Onward transfer principle (Transferencia ulterior): Las entidades adheridas, antes de revelar información a terceros que no participen en el programa de puerto seguro, deberán aplicar los dos principios anteriores (Notificación y opción).
  • Security principle (Seguridad): Las entidades adheridas, que se encarguen de recoger y almacenar datos de carácter personal, deberán adoptar todas las precauciones que consideren oportunas con el fin de evitar su pérdida, modificación o destrucción.
  • Data integrity principle (Integridad de los datos): Las entidades adheridas deberán recoger únicamente datos pertinentes respecto a los fines previstos.
  • Access principle (Acceso): Las entidades adheridas reconocen el derecho de los interesados al conocimiento de los datos de carácter personal que tengan sobre ellos y puedan corregirlos, modificarlos o suprimirlos en caso de ser inexactos.
  • Enforcement principle (Aplicación): Las entidades adheridas incluirán una vía de recurso para los interesados que se vean afectados por el incumplimiento de la normativa sobre TID de carácter personal entre EE.UU. y UE.

A priori puede parecer que los tres primeros principios (Notificación, opción y transferencia ulterior) son garantía suficiente para que la exportación de datos personales desde España a cualquier prestador de servicios de Cloud, con matriz en EE.UU. y adherida a los principios de Safe Harbour, pueda realizarse sin necesidad de autorización del Director de la AEPD.

El problema surge cuando la misma empresa, o grupo multinacional, dispone de CPDs distribuidos en diferentes países, algunos de ellos sin proporcionar un nivel adecuado o equiparable de protección. Si el prestador de servicios transfiere nuestros datos personales a esas otras ubicaciones puede no sentirse obligado por el tercer principio de Puerto Seguro (transferencia ulterior), que parece más orientado a terceras empresas que a diferentes ubicaciones del mismo grupo empresarial, pudiendo ir a parar los datos, sin saberlo, a un tercer país.

Mientras que la mayoría de proveedores de Cloud Computing informan por medio de sus políticas de privacidad de su adhesión a los principios de Puerto Seguro, no todos suelen informar de la ubicación geográfica de los diferentes CPDs que disponen. Esta forma sigilosa de incumplir el deber de informar, siempre que se traten datos personales, es más común en los prestadores que proveen un modelo de entrega de servicios de Cloud basado en SaaS (Software como servicio).

En consecuencia podríamos decir que esta indeterminación puede producir, especialmente en los tratamientos de información sensible, una cierta indefensión jurídica motivada por la obligación del responsable del tratamiento de cumplir con el resto de previsiones establecidas en la normativa española de protección de datos.

Aprovecho para recordar la disposición adicional única [justo después del artículo 158] del RD 1720/2007, de 21 de diciembre (RLOPD), que hablando de productos de software dispone: “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento”. Hablando en este estudio de tratamientos de datos de nivel alto, no sería desdeñable, y facilitaría mucho la labor auditora, que los proveedores de SaaS (Software como Servicio) en Cloud lo indicaran.

6. EXIGENCIAS DE CUMPLIMIENTO

Una solución a esta indeterminación recién planteada sería la suscripción por parte del prestador de servicios de Cloud Computing de las conocidas como Binding Corporate Rules (BCR), vinculantes para TODAS las empresas del grupo prestador de servicios de Cloud (Artículo 137 RLOPD), según las previsiones del documento, elaborado por el GT29, adoptado el 3 de junio de 2003: 11639/02/EN - WP 74. [4]

Debe tenerse en cuenta que, como regla general, el encargado del tratamiento (prestador de servicios de Cloud) no puede subcontratar, de forma unilateral con un tercero, la realización de un tratamiento que le ha sido encomendado por el responsable (Artículo 21 RLOPD). Solo será posible efectuar la subcontratación cuando concurran los siguientes requisitos:
 
  • Que este nuevo tratamiento esté especificado en el contrato suscrito entre la entidad contratante y el contratista.
  • Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
  • Que el contratista encargado del tratamiento y el tercero formalicen un contrato en los términos previstos en el artículo 12.2 LOPD.

Así mismo, el Dictamen 5/2012, de 1 de julio, [3] sobre Cloud Computing del GT29, dictamina: En opinión del GT 29, el encargado del tratamiento podrá subcontratar sus actividades únicamente sobre la base del consentimiento del responsable del tratamiento, que suele darse al inicio del servicio, con la inequívoca obligación para el encargado de informar al responsable sobre cualquier cambio previsto en lo que respecta a la adición o sustitución de subcontratistas, teniendo el responsable del tratamiento en todo momento la posibilidad de oponerse a tales cambios o de rescindir el contrato. Debe existir la clara obligación del proveedor de nombrar a todos los subcontratistas. Además, debería firmarse un contrato entre el proveedor y el subcontratista que refleje las disposiciones del contrato entre el cliente y el proveedor. El responsable del tratamiento debería poder hacer uso de las posibilidades contractuales de recurso en caso de incumplimiento de los contratos causado por los subcontratistas. Esto podría organizarse garantizando que el encargado responda directamente ante el responsable por los incumplimientos causados por cualquier subcontratista que haya contratado, o mediante la creación de un derecho de tercero beneficiario en beneficio del responsable del tratamiento en los contratos firmados entre el encargado del tratamiento y los subcontratistas o por el hecho de que tales contratos se firmen en nombre del responsable del tratamiento, haciendo a este último parte del contrato”.

En cuanto a las garantías contractuales entre responsable y encargado, el GT29 dictamina: El contrato deberá establecer expresamente que el proveedor no podrá comunicar los datos a terceros, ni siquiera con fines de conservación, a menos que el contrato prevea la existencia de subcontratistas. El contrato deberá especificar que sólo podrá contratarse sub-encargados del tratamiento previa autorización que puede otorgar en general el responsable del tratamiento, en consonancia con la inequívoca obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de cualquier cambio previsto a este respecto, teniendo el responsable del tratamiento en todo momento la posibilidad de oponerse a tales alteraciones o de rescindir el contrato.

Deberá existir una clara obligación para el proveedor de nombrar a todos los subcontratistas contratados (por ejemplo, en un registro digital público). Deberá garantizarse que los contratos suscritos entre proveedores y subcontratistas reflejen las condiciones del contrato entre el cliente y el proveedor (esto es, que los sub-encargados del tratamiento están sujetos a los mismos derechos contractuales que el proveedor).

En particular, deberá garantizarse que tanto el proveedor como todos los subcontratistas sólo actuarán siguiendo instrucciones del cliente. Tal como se explica en el capítulo sobre el sub-tratamiento, la cadena de responsabilidad deberá exponerse claramente en el contrato. Deberá fijarse la obligación por parte del encargado del tratamiento de definir las transferencias internacionales, por ejemplo firmando contratos con subcontratistas, basándose en las cláusulas contractuales tipo 2010/87/UE”.

En el Informe 0157/2012 [2] de la AEPD sobre determinadas cuestiones relacionadas con Transferencias Internacionales de Datos, se indica: “De este modo, siempre que el cliente del servicio de computación en nube pueda tener claro conocimiento de la identidad de los terceros subcontratistas del servicio, así como de las actividades desplegadas por cada uno de ellos, nada obsta a que la citada subcontratación se realice mediante la firma de un único contrato con dichos subcontratistas en que se especifiquen los servicios a prestar.

Ello debería acompañarse de un procedimiento que permitiera a los clientes acceder a los citados datos de identificación y, en el caso de transferencias internacionales de datos o de subcontrataciones posteriores a la citada transferencia, toda vez que se prevé la firma de un contrato directamente entre el cliente y la empresa estadounidense del Grupo, la ubicación geográfica en que se prestará el servicio.

En consecuencia, sería suficiente a efectos de acreditar la existencia de garantías adecuadas que los clientes pudieran acceder, por ejemplo a través de un sitio web al que se hiciera expresa referencia en el contrato firmado con la consultante, a los datos de identificación de los subcontratistas, ubicación de los mismos y servicios de tratamiento que aquéllos desarrollarán, bastando la celebración de un contrato único con tales subcontratistas que, lógicamente cumpliese con los requisitos necesarios para que cupiera atribuir a los mismos la condición de sub-encargados del tratamiento o para adoptar garantías suficientes en caso de transferencia ulterior de los datos”

En el contrato entre el encargado del tratamiento y el posible subcontratista, deben constar las medidas de seguridad necesarias, acorde con el nivel de los datos personales a tratar. En el caso de datos especialmente protegidos, esa notificación es fundamental para que el subcontratista sepa cómo debe proteger adecuadamente esos datos.

7. MEDIDAS DE SEGURIDAD

7.1. Introducción


El artículo 9 LOPD dispone: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natura”.

En el contrato entre responsable y encargado han de quedar fijadas que medidas de seguridad del título VIII del RLOPD se adaptarán en concreto (Artículo 12.2 LOPD).

7.2. Obligación de auditar

Como ya hemos visto anteriormente, el artículo 20.2 RLOPD dispone que “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte el tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.

Esta obligación de auditar por parte del responsable hacia el encargado puede ser materializada por una entidad tercera acreditada de confianza, como establece también el Dictamen 05/2012 del GT29 [3] en su apartado 4.2 Certificaciones de protección de datos de terceros:
 
  • La verificación independiente o la certificación por terceros que gocen de reconocido prestigio puede ser un medio creíble para que los proveedores demuestren el cumplimiento de sus obligaciones según lo especificado en el presente dictamen.  Dicha certificación indicaría, como mínimo, que los controles de protección de datos han sido objeto de una auditoría o revisión con respecto a una norma reconocida que cumple los requisitos expuestos en el presente dictamen, por una organización tercera que goce de reconocido prestigio. En el contexto de la computación en nube, los clientes potenciales deben examinar si los proveedores de servicios en la nube pueden presentar una copia de este certificado de auditoría realizado por un tercero o una copia del informe de auditoría que verifique la certificación, incluso con respecto a los requisitos que figuran en el presente dictamen.
  • La realización de auditorías individuales de datos alojados en un medio de servidores virtualizados con múltiples operadores puede ser poco práctica desde el punto de vista técnico y puede en algunos casos puede aumentar los riesgos para los controles físicos y lógicos de seguridad de las redes. En tales casos, podrá considerarse que la auditoría por un tercero de reconocido prestigio elegido por el responsable del tratamiento puede sustituir al derecho de un responsable del tratamiento de realizar una auditoría.
  • La adopción de normas y certificaciones específicas sobre protección de la intimidad es esencial para establecer una relación de confianza entre los proveedores, los responsables del tratamiento y los interesados. Estas normas y certificaciones deben cubrir las medidas técnicas (como la localización de los datos o la codificación), así como los procesos seguidos por los proveedores de servicios de computación en nube para garantizar la protección de los datos (tales como políticas de control del acceso, controles de acceso o copias de seguridad).

La propia AEPD en su Informe 0157/2012 [2] indica al respecto: “De este modo, tomando en cuenta los criterios sustentados por el Grupo de Trabajo del artículo 29 sería posible considerar que la auditoría a la que se refiere la consultante, en los términos en los que la misma se señala en la consulta podría ser considerada una garantía adecuada para la transferencia de los datos derivada de la contratación del servicio de computación en nube prestada por la misma siempre y cuando dicho servicio fuera prestado por una entidad enteramente independiente de la consultante y que se encontrase debidamente certificada o acreditada, tanto en lo que se refiere a su independencia como en lo que atañe a sus procedimientos de actuación.

Además, sería necesario que las partes conviniesen que la elección de esa tercera parte de confianza se llevase a cabo por parte de la consultante [responsable del tratamiento], permitiendo en todo caso al cliente manifestar su opinión así como acceder a los resultados del informe de auditoría que se llevase a cabo, que necesariamente debería reunir los requisitos de contenido a los que acaba de hacerse referencia, en los términos manifestados en el documento WP196 ya citado”.

7.3. La Norma ISO 27001 y el programa STAR

Por haberse convertido en una Norma estándar de facto a nivel mundial, en cuanto a Seguridad de la Información, la ISO 27001:2013 será seguramente la certificación que pueda encajar en los planteamientos que se han analizado del GT29 y de la AEPD.

Una certificación en esta Norma es un acto voluntario (no legislativo) que sirve para acreditar que la empresa dispone de un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la mejora continua que está sometido regularmente a auditorías de control por parte de una tercera entidad acreditada y reconocida internacionalmente.

En consecuencia, podría servir para evidenciar que dicha empresa cumple con las medidas organizativas y técnicas necesarias, demostrando que posee un adecuado nivel de protección de datos en general (incluidos los de naturaleza personal). Todo ello suponiendo que el alcance de la certificación, que puede definirse a voluntad por quién se certifica, cubra todos los ficheros y tratamientos que afectan a nuestras necesidades.

Lo que no garantiza nunca una Norma ISO 27001 es que se cumpla con el tercer paquete de medidas que faltan: Las jurídicas. Si bien existe un objetivo de control y un control jurídico específico en el apéndice A de la Norma:

A.18 CUMPLIMIENTO LEGAL

A.18.1 Cumplimiento con los requisitos legales y contractuales

A.18.1.4 Privacidad y protección de la información identificable personal: La Privacidad y la protección de la información identificable personal debe ser asegurada como se requiere en la legislación y la regulación que le es aplicable.

Si en el país donde un encargado del tratamiento se certifica de la Norma no existe legislación aplicable sobre protección de datos, ésta se limitará a constatar que dicho control NO APLICA y quedará excluido de la declaración de aplicabilidad (SOA en inglés), sin afectar al proceso de certificación. En consecuencia no se podrá acreditar en base a la ISO27001:2013 la existencia de medidas jurídicas sobre legislación en materia de protección de datos.

Lo mismo podría ocurrir con las medidas organizativas y técnicas pese a que toda exclusión, de cualquiera de los 114 controles posibles en la declaración de aplicabilidad que exige la Norma, debe estar plenamente justificada.

NOTA DEL EDITOR: La evaluación del cumplimiento en materia de protección de datos personales en entornos de Cloud Computing no es baladí. Se requieren sólidos conocimientos jurídicos en la materia, conocimiento de la legislación aplicable en cada caso, dominio como leader auditor de la Norma ISO 27001 de gestión de la seguridad de la información y ahora también como auditor del esquema de certificación STAR de seguridad en proveedores de Cloud. En otras palabras, o se es un profesional de amplio espectro o se requiere un conjuntado equipo multidisciplinar.

En el reciente y muy completo Informe CNS-57/2013 [1] de la Autoritat Catalana de Protecció de Dades (APDCAT) sobre prestadores de “Cloud Storage” y despachos de abogados [puede accederse a la traducción en el apartado de bibliografía], se admite que esos 114 controles podrían en cierta manera concordar con diferentes preceptos del RLOPD relativos a las medidas de seguridad (Artículos 89 a 104), facilitando la normativa de protección de datos en este sentido.

No obstante, también apunta a que no existe una relación directa entre éstas medidas establecidas por la Norma y las medidas previstas en el RLOPD. En otras palabras, el Informe de la APDCAT concluye que “la Norma ISO 27001:2013 no garantiza la existencia de un documento de seguridad con los contenidos mínimos previstos en la legislación española de protección de datos, (…), de un registro de acceso a los datos o de un registro de incidencias que cumpla con todos los requisitos previstos en la normativa vigente”.

Hemos de pensar que este temor de la APDCAT debe circunscribirse  especialmente dentro del  caso que nos ocupa, que no es otro que el tratamiento de datos especialmente protegidos.

Muy recientemente, para las empresas de Cloud Computing, dentro del OCF (Esquema abierto de certificaciones), de la mano de British Standards Institution (BSI) y de  la Cloud Security Alliance (CSA), existe la denominada certificación STAR. Se trata de un esquema de certificación basado en tres niveles y adecuado al prestador de servicios de Cloud Computing. La certificación STAR de nivel 2 comprende una auditoría independiente “de tercera parte” sobre la base de la CCM (Cloud Control Matrix) - Matriz de Controles de Cloud -  que complementan a los definidos en el anexo A de la ISO 27001.

Los 136 controles que componen el CCM V3.0 están agrupados en 16 dominios. Antiguamente, en el CCM V1.x existía el dominio Legal (LG). Actualmente en el CCM V3.0 los controles correspondientes a la parte legal han quedado repartidos entre dos dominios diferentes: Human Resources Security (HRS) y Supply chain management, transparency & accountability (STA).

8. LEGISLACIÓN APLICABLE

8.1. Introducción

Determinar cuál es el Derecho aplicable al tratamiento de datos personales tiene suma importancia en entornos de Cloud Computing, donde no siempre es trivial la localización de los ficheros de datos.

Una percepción clara del Derecho aplicable sobre protección de datos, tanto en el EEE como en un contexto internacional más amplio,  contribuirá a garantizar la seguridad jurídica a los responsables del tratamiento, a sus clientes y demás partes interesadas.

Como se dispone en el dictamen 8/2010 del GT29, sobre el Derecho aplicable, [7] la determinación del Derecho aplicable está estrechamente vinculada a la identificación del responsable del tratamiento y de su(s) establecimiento(s): la principal consecuencia de esta vinculación es la reafirmación de las responsabilidades del responsable del tratamiento, y de su representante si aquel está establecido en un tercer país.

8.2. Legislación europea

En el referido dictamen se indica:

“II.2.b) Ámbito del Derecho de la UE dentro de la UE/del EEE. Los principales criterios a la hora de determinar el Derecho aplicable son la ubicación del establecimiento del responsable del tratamiento y la ubicación de los medios o del equipo que se esté utilizando cuando el responsable del tratamiento esté establecido fuera del EEE. Esto significa que ni la nacionalidad o el lugar de residencia habitual de los interesados, ni la ubicación física de los datos personales son decisivos a tal efecto”.

Evidentemente el Dictamen concuerda con el artículo 4 “Derecho aplicable” de la Directiva 95/46/CE.

En consecuencia, y para el estudio que nos ocupa suponemos que el responsable del tratamiento, que es la empresa que contrata los servicios a un proveedor de Cloud, está en España (dentro de la UE) por lo que el Derecho aplicable debería ser el español.

9. BIBLIOGRAFÍA CONSULTADA

- [1] APDCAT. CNS-57/2013. “Informe en relación con una consulta de un colegio de abogados sobre los riesgos que comporta el uso de servicios de “Cloud Storage” en el ámbito profesional de las relaciones entre abogado y cliente”. 28 de marzo de 2014.
Informe APDCAT

- [2] AEPD. Informe 0157/2012. “Determinadas cuestiones relacionadas con Transferencias Internacionales de Datos”.
Informe 0157/2012

- [3] GRUPO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de Julio de 2012. WP196. 01037/12/ES. Dirección General de Justicia de la Comisión Europea.
WP 196

- [4] ARTICLE 29 - DATA PROTECTION WORKING PARTY. “Working Document: Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers”. Adopted on 3 June 2003. 11639/02/EN.WP 74.
Working Document

- [5] Decisión 2010/87/UE de la Comisión. “Relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países”. De conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. 5 de febrero de 2010.
Decisión 2010/87/UE

- [6] Decisión 2000/520/CE de la Comisión. “sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. 26 de julio de 2000.
Decisión 2000/520/CE

- [7] GRUPO DE PROTECCION DE DATOS DEL ARTICULO 29. “Dictamen 8/2010 sobre el Derecho aplicable”. 16 de diciembre de 2010. WP 179.
Dictamen 8/2010

10. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

 

Sobre el autor:

 

José Luis Colom Planas es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales” relacionado con el Derecho digital en sentido amplio.
Posee un doble perfil, jurídico y tecnológico que le facilita el desempeño profesional en el ámbito de la privacidad: Ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). También ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia.
Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.