martes, 1 de mayo de 2012

CLOUD COMPUTING Y PROTECCIÓN DE DATOS PERSONALES. REGULANDO EL DESORDEN.


Resumen: Segunda versión actualizada del estudio didáctico del modelo CLOUD COMPUTING, de entrega de servicios externalizados de TI, incidiendo en los aspectos legislativos en materia de protección de datos de naturaleza personal.

Autor del artículo
Colaboración
JOSÉ LUIS COLOM PLANAS
Actualizado
11 de octubre de 2015

 ÍNDICE.

1. INTRODUCCIÓN AL MODELO DE TI BASADO EN CLOUD COMPUTING
2. APLICANDO LA LEGISLACIÓN. LOPD EN EL CLOUD.
3. CESIONES Y TID (TRANSFERENCIAS INTERNACIONALES DE DATOS)
4. ACTORES QUE INTERVIENEN Y SU ADECUACIÓN AL CLOUD
4.1. MODELOS DE DESPLIEGUE EN EL CLOUD
4.2. MODELOS DE SERVICIO EN EL CLOUD
4.3. AFECTACIÓN A LOS ACTORES, EN FUNCIÓN DEL MODELO DE SERVICIO
5. LA LEGISLACIÓN EUROPEA
5.1. LA DIRECTIVA EUROPEA 95/46/CE
5.2. EL GRUPO DE TRABAJO DEL ARTÍCULO 29
6. ÁMBITO TERRITORIAL DE APLICACIÓN DEL RLOPD
7. BIBLIOGRAFIA CONSULTADA
8. CONTROL DE CAMBIOS DEL ARTÍCULO
9. DERECHOS DE AUTOR


1. INTRODUCCIÓN AL CLOUD COMPUTING

El cambio de paradigma en la informática (entendida como tratamiento de la información), focaliza ahora en los servicios ofrecidos a los clientes. La infraestructura electrónica necesaria para cumplir los objetivos propuestos, deja de tener importancia mientras cumpla su misión.


Éste planteamiento abre las puertas a externalizar sin mayor problema los servicios de TI en la Nube. La única preocupación ha de ser gestionar la seguridad de los datos, entendida como confidencialidad, integridad y disponibilidad, a la vez que velar por el cumplimiento regulatorio especialmente en lo que se refiere a privacidad.


En consecuencia se generaliza en los CPD (Centros de Proceso de Datos) de las empresas, un nuevo concepto de las TIC (Tecnologías de la Información y las Comunicaciones) llamado virtualización de servidores e infraestructuras. Si bien este concepto ya existía en algunas series de “mainframes” de IBM, es en manos de la compañía vmware, de Microsoft y de otros fabricantes de software que consigue su popularidad imparable, al permitir virtualizar servidores basados en los sistemas operativos Windows y Linux, los más utilizados del planeta. 

 Con dicha técnica, se pierde el concepto clásico de servidor, definido como “un hardware, un sistema operativo y una o varias aplicaciones” dando servicio a los usuarios de la red.

Ahora pueden funcionar diferentes servidores “virtuales” en un mismo “servidor físico”, gracias a una capa de software intermedia entre el hardware y los diferentes sistemas operativos, llamada Hipervisor. Permite optimizar los recursos de hardware disponibles, asignándolos a los servidores virtuales según sus necesidades reales de memoria y capacidad de proceso.  Algo análogo ocurre con el almacenamiento requerido en disco. Se consigue así una gran flexibilidad, ahorro de costes y disponibilidad del sistema.


La suma de dos elementos, por un lado “Internet”, que proporciona conectividad de alta velocidad en cualquier parte del mundo, y por otro la “virtualización de infraestructuras”, que permite concentrar miles de máquinas virtuales flexibles “a medida” en grandes CPD, nos llevan al CLOUD COMPUTING o “informática en la nube”. 


Por consiguiente Cloud Computing no es una solución tecnológica nueva. TI siempre se apoya en tecnología, lo cual no es ninguna novedad. Cloud Computing es un nuevo modelo de entrega de servicios de TI, de forma externalizada.


Ya se intuye que todo lo que significa compartir recursos, representa un ahorro económico y una simplificación en la gestión para el cliente final. Si le sumamos la carencia de inversión inicial, representará una tendencia imparable una vez demuestre ser una solución fiable en cuanto a seguridad de la información.


Hemos visto que no se trata de una tecnología nueva, sino de un nuevo modelo de entrega de servicios, donde se hace coincidir la capacidad ofrecida por el proveedor en el CLOUD con la demanda real del cliente. En otras palabras, se paga exactamente en función del servicio recibido, que normalmente configuraremos a partir de un “catálogo de servicios” en un portal de autoaprovisionamiento en una web.




El NIST (National Institute of Standards and Technology), considera que para poder hablar de CLOUD Computing de forma correcta, deben cumplirse al menos cinco características esenciales:
  • Entrega de servicios bajo demanda.
  • Acceso abierto y ubicuo desde Internet.
  • Pool de recursos compartidos.
  • Rápida elasticidad en la capacidad contratada.
  • Servicios medidos (pago por uso).




2. APLICANDO LA LEGISLACIÓN. LOPD en el CLOUD.

Desde un punto de vista meramente tecnológico, ya no importa donde esté ubicado nuestro servidor, mientras tengamos acceso exclusivo a él a través de Internet, podamos aprovisionarlo cómodamente desde un “catalogo de opciones de configuración” (la memoria, la potencia de proceso, la capacidad en disco, el Sistema Operativo) e instalar nuestras aplicaciones transfiriéndolas desde alguna web del fabricante o desde un instalador en nuestro PC o dispositivo móvil de acceso.

O incluso despreocuparnos del concepto Servidor y contratar un servicio concreto desde un “catálogo de servicios” (correo electrónico, colaboración, ERP, CRM, etc.)


Pero, ¿Qué ocurre si la empresa que contrata dichos servicios, almacena y trata en ellos datos de carácter personal? Aparece entonces el concepto de gestión de la LOPD en el CLOUD.


Al aplicar la LOPD y el RLOPD, nos da igual que el fichero que contenga datos de carácter personal sea manual o informático. Siempre hay que cumplir la legislación vigente en materia de protección de datos, aunque en función de cada caso, las medidas de seguridad necesarias que conlleva,  variarán.



3. CESIONES y TRANSFERENCIAS INTERNACIONALES DE DATOS.

Si el servidor informático es físico o virtual, también es irrelevante, excepto por un pequeño detalle: LA UBICACIÓN GEOGRÁFICA. 

Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una simple cesión (que puede resolverse mediante la suscripción del preceptivo contrato entre responsable y encargado del tratamiento) o bien una TID (Transferencia Internacional de Datos) que conlleva obligaciones legales adicionales.


Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).


Una TID, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.


Los acuerdos del EEE, por lo tanto, se aplican ahora a la UE de los 28 y a los 3 Estados miembros de la Asociación Europea de Libre Comercio (AELC): Islandia, Liechtenstein y Noruega.


NOTA DEL EDITOR: Suiza, aunque no forma parte del EEE y por tanto queda fuera de los acuerdos, sigue siendo miembro de la AELC.


Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la TID pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AEPD (Agencia Española de Protección de Datos), salvo:
  • Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
  • Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.


La relación de países cuyo nivel de protección se considera equiparable por la AEPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:
  • Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000.
  • Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (Safe harbor), (2) de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.
  • Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001.
  • Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003.
  • Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010.
  •  Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010.
  •  Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
  • República Oriental del Uruguay, de acuerdo con la decisión 2012/484/UE de Ejecución de la Comisión, de 21 de Agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.  
(2) El “acuerdo de puerto seguro UE-EE.UU.”, surgió para compatibilizar la Directiva de la Comisión Europea sobre protección de datos que entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no comunitarios que no cumplan con la Unión Europea (UE) la necesaria "adecuación" para la protección de la privacidad.
No obstante, una sentencia del TJUE, de fecha 6 de octubre de 2015, invalida el  acuerdo.



NOTA DEL EDITOR: “Safe Harbor” era un facilitador importante dada la posición de predominio de las empresas de USA en el mercado mundial de Cloud Computing.

Un error de concepto típico era considerar a un proveedor con  “safe Harbor” suscrito, como equivalente a uno del EEE. Falsa creencia ya que simplemente se le consideraba tercer país con nivel de protección equiparable. Debe informarse de la TID a la AEPD, aunque no haga falta esperar ninguna autorización del director de la Agencia.
Pese a ello, debe tenerse en cuenta que no es la sede de la matriz de un proveedor la ubicación de referencia, sino el domicilio reconocido del responsable efectivo del tratamiento (donde se decide sobre los tratamientos que se aplicarán sobre los datos) y la ubicación del CPD (de los muchos que pueda disponer el encargado del tratamiento) donde se alojan los datos. En consecuencia, una empresa de USA podría tener el CPD en un tercer país, dificultando así el análisis de la situación.
Otra cuestión es discernir cual es el Derecho aplicable,  basándome en el Dictamen 8/2010 del GT29, sobre el Derecho aplicable, emitido el 16 de diciembre de 2010. En él se indica:
“II.2.b) Ámbito del Derecho de la UE dentro de la UE/del EEE. Los principales criterios a la hora de determinar el Derecho aplicable son la ubicación del establecimiento del responsable del tratamiento y la ubicación de los medios o del equipo que se esté utilizando cuando el responsable del tratamiento esté establecido fuera del EEE. Esto significa que [dentro del EEE] ni la nacionalidad o el lugar de residencia habitual de los afectados, ni la ubicación física de los datos personales son decisivos a tal efecto [considerar el Derecho aplicable]”.
 
 


Los siguientes supuestos son excepciones a la necesidad de autorización del director de la AGPD, se regulan en el Art. 34 de la LOPD:


a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.


Resumiendo:
  • Las comunicaciones de datos dentro del EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español.
  • Las comunicaciones de datos a países con “nivel de protección equiparable” según la AEPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AEPD, pero si la notificación a la Agencia.
  • Para las comunicaciones de datos con el resto de países, es necesario notificarlo, solicitar y esperar la autorización del Director de la AEPD.




De todo lo anteriormente expuesto se deduce que cuando contratamos servicios en el CLOUD, si tratamos datos de carácter personal, es muy importante conocer o elegir en qué país está ubicado el CPD que albergará nuestros servidores virtuales y su almacenamiento correspondiente. Es imprescindible a efectos de cumplimiento con la LOPD.


Algunos proveedores de servicios en el CLOUD en su catálogo de aprovisionamiento lo primero que solicitan es en que CPD de los varios que disponen deseamos crear nuestro servidor virtual. Para cada CPD se indica claramente el país donde se encuentra ubicado.


NOTA DEL EDITOR: Conocer explícitamente la ubicación de los datos es sencillo en la modalidad de IaaS o PaaS que consisten en contratar servidores virtuales. En el caso del SaaS donde se contrata un servicio basado en Apps, éste puede disponer los datos en instancias distribuidas de forma que no sea tan simple conocer su ubicación exacta.


Si elegimos un proveedor de servicios con los datos ubicados en un país del EEE, nuestra introducción de datos en el servidor o mediante el servicio contratado, no se considerará una TID.


En el tratamiento por cuenta de terceros, para que se considere que no hay una cesión de datos, debe intervenir la figura del ENCARGADO DEL TRATAMIENTO. Por tanto debe existir una relación jurídica que vincule al Responsable y al Encargado del Tratamiento, y que delimite de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el Encargado por cuenta del Responsable del Tratamiento.


4. ACTORES QUE INTERVIENEN Y SU ADECUACION AL CLOUD.

Según la LOPD, se define al RESPONSABLE DEL FICHERO O TRATAMIENTO como: 

"La persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente".


Resulta esencial la identificación del Responsable del Tratamiento, dado que esto garantiza que haya una persona que tenga asignadas una serie de obligaciones concretas derivadas del tratamiento y, por lo tanto, haya alguien al que se le pueda exigir el cumplimiento de esas obligaciones.


Ésta figura no se ve afectada, aunque el tratamiento de los ficheros con datos de carácter personal se materialice en el CLOUD. Debe seguir cumpliendo con la LOPD y el RLOPD solo que, si procede, se le añadirá la problemática de las TID.


A efectos prácticos la empresa cliente que contrata y utiliza los servicios en el CLOUD es el RESPONSABLE DEL FICHERO o TRATAMIENTO, ya que decide sobre la finalidad específica de los datos de carácter personal que ha recabado a los interesados.


Debe registrar en la AEPD los ficheros de datos personales que se gestionan en el CLOUD. Como responsable del tratamiento debe crear o completar el Documento de Seguridad correspondiente a estos nuevos datos y tratamientos.


La empresa que provee los servicios de CLOUD tiene la consideración de ENCARGADO DEL TRATAMIENTO, que se define en la LOPD como: 

"Es la persona física o jurídica, pública o privada u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio".


Cuando se contratan servicios en el CLOUD, el RESPONSABLE DEL TRATAMIENTO debe asegurar que el prestador del CLOUD (ENCARGADO DEL TRATAMIENTO) cumpla con la normativa vigente española, en relación al artículo 12 de la LOPD. No sería desdeñable el redactado del contrato que  firmarán ambas partes, se basara en el contenido de dicho artículo:


Artículo 12. Acceso a los datos por cuenta de terceros.

 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.


2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.


3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.


4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.


Una de las obligaciones que establece el RLOPD en el Art. 20.2 dice:


2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo,  deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.


Quiere ello decir que hay que articular mecanismos de supervisión, que la mayoría de las veces serán de difícil implementación.


NOTA DEL EDITOR: En su defecto podría considerarse que dicha supervisión se materializara por medio de un tercero acreditado. Para ello sería bueno que el proveedor de servicios en el Cloud estuviera certificado en una norma internacional de seguridad de la información y continuidad de operaciones como pueden ser la ISO 27001 y la ISO 22301 que obligan a auditorías permanentes y pueden justificarse mediante el correspondiente certificado.


4.1. MODELOS DE DESPLIEGUE EN EL CLOUD.

Desde el punto de vista del despliegue, distinguiremos entre:
  • Cloud Privada
  • Cloud Pública
  • Cloud Hibrida

La Cloud Privada no presenta interés en el ámbito de la legislación en materia de protección de datos de naturaleza personal, dado que es el mismo caso que tener el CPD en la propia empresa. La única diferencia es que el acceso es ubicuo a través de Internet. Si le dotamos de las medidas de seguridad de transporte que permite la tecnología actual (Cifrado de datos, certificados digitales, red de túneles virtuales), es equivalente a tener unos servidores virtuales publicados de forma segura, con un sistema basado en catálogo de aprovisionamiento).


La Cloud pública es a la que nos referimos en el presente artículo y está basada en contratarla a otra empresa como prestación de servicio.


La Cloud Híbrida es una mezcla de ambas, privada y pública, según las aplicaciones o la naturaleza de los datos a tratar.


NOTA DEL EDITOR: Una variante de la Cloud Privada es en modalidad de subcontratación. En dicho caso, los servidores virtuales no se encuentran en las dependencias de la propia empresa, y a efectos de protección de datos es el mismo caso que la Cloud Pública, aunque la infraestructura física que les da soporte sea dedicada y no se comparta con servicios de Cloud para terceros.


4.2. MODELOS DE SERVICIO EN EL CLOUD

En cuanto a los modelos de servicio, distinguiremos tres escenarios diferentes (que muchas veces se pueden simplificar en dos), a la hora de contratar servicios en el CLOUD:



Por una parte:
  • IaaS  (Infraestructura como Servicio).
  • PaaS (Plataforma como Servicio).

 Y por otra:
  • SaaS (Software como Servicio).


4.2.1. Infraestructure as a Service (IaaS)

Consiste en contratar hardware virtual (CPU como capacidad de proceso, memoria RAM, almacenamiento) y un sistema operativo del catálogo de aprovisionamiento (Windows Server 2012, Linux, etc.). Simplificando, contratamos un servidor virtual totalmente vacío a excepción del sistema operativo. El cliente del servicio, instalará en dicho servidor virtual en el CLOUD las aplicaciones, bases de datos y utilitarios varios que pueda necesitar. El proveedor se encarga de su gestión como sistema, ignorando su contenido a nivel de aplicaciones y datos. El licenciamiento legal de las aplicaciones que se instalen en él, es responsabilidad del cliente (Responsable del Tratamiento), no del proveedor de servicios CLOUD.


La mayoría de proveedores de servicios IaaS dan a elegir en qué CPD de una lista se desea aprovisionar la infraestructura virtual contratada en el CLOUD. Por tanto su ubicación suele estar geográficamente localizada.


4.2.2. Platform as a Service (PaaS)

Es un paso más del IaaS. Se proporciona además del servidor virtual, una BB.DD. (Base de Datos), una “suite” de herramientas de programación, herramientas de servicios web (web services), etc.


4.2.3. Software as a Service (SaaS)

Se trata de una aplicación para el usuario final, donde se paga un alquiler por el uso de software. Es el concepto de servicio de TI en su estado puro. No es necesario adquirir un software en propiedad, instalarlo, configurarlo y mantenerlo.


Es muy difícil saber sobre que servidores se ejecuta la aplicación contratada y mucho menos donde se encuentran geográficamente ubicados. Posiblemente ni tan siquiera estén siempre en la misma ubicación.


4.3. AFECTACIÓN A LOS ACTORES, EN FUNCIÓN DEL MODELO DE SERVICIO


4.3.1. IaaS y PaaS

En el caso de la IaaS, el proveedor de servicios de CLOUD se limita a aprovisionarnos una infraestructura informática “vacía”. Somos nosotros los que instalamos en ella las aplicaciones (Software) y los datos (BB.DD. entre cuyas tablas pueden encontrarse los ficheros con datos de carácter personal).


Si ello es así, dicha empresa solamente supervisa que los servidores virtuales funcionen correctamente desde un punto de vista técnico (Disponibilidad del servicio y continuidad de los datos), sin preocuparse en absoluto por el contenido de la información que albergan, puesto que dotan al cliente de mecanismos para subir y bajar datos y aplicaciones de forma totalmente desasistida.

El proveedor de servicios CLOUD en modalidad IaaS y PaaS, no tiene conocimiento de la existencia de datos de carácter personal, a no ser que nosotros se lo comuniquemos explícitamente.


4.3.2. SaaS

Si contratamos en el CLOUD aplicaciones en modalidad de SaaS, como pueden ser entre las más conocidas las de correo electrónico “Microsoft Office365” o bien “Google Apps” como mensajería y colaboración, ya no queda tan claro donde se almacenarán nuestros datos, a no ser que una cláusula contractual así lo especifique.


Además, el Responsable del tratamiento debe nombrar al proveedor de servicios de CLOUD como encargado del tratamiento y firmar el Acuerdo de Encargado de Tratamiento LOPD. Este acuerdo debería incluir las normas de seguridad a que se refiere el artículo 9 de la LOPD:


Articulo 9, sobre la seguridad de los datos:


1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.


3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.


A su vez, el Encargado del tratamiento (Quien provee los servicios en el CLOUD), debe elaborar su propio Documento de Seguridad y facilitarnos una copia, solo de la parte pública que nos afecta por razones obvias de seguridad, si ya dispone de ella de forma genérica.


El problema es que si el proveedor de servicios es una gran multinacional con una posición de predominio en el mercado, dispondrá de algún contrato tipo “estándar” que no contemplará modificar.

En dicho supuesto puede que disponga únicamente de una declaración de privacidad a la que como máximo nos adscribimos mediante la contratación.


NOTA DEL EDITOR: Para ampliar información respecto a cláusulas contractuales en entornos de Cloud Computing, puede consultarse en éste mismo Blog:
Cláusulas contractuales en entornos de Cloud Computing

Y también:
Apuntes jurídicos sobre contratos de Cloud Computing


En el caso de que estemos contratando una aplicación en el CLOUD, tipo SaaS, puede darse el caso que sea de un proveedor de software independiente (“software house” o desarrollador de software), que no disponga de infraestructura virtual y deba subcontratarla.


Si es así, en al Acuerdo de Encargado de Tratamiento LOPD (lo firman la empresa cliente  y el proveedor SaaS) debe figurar que el Encargado del tratamiento (el proveedor SaaS) subcontrata los servicios a un proveedor de IaaS o PaaS (Infraestructura Cloud) indicando el nombre de la empresa subcontratada. Por tanto, puede producirse una subcontratación en cadena con otros terceros. Representa una sucesiva realización de tratamientos por encargo, donde alguno de los proveedores que prestan el servicio puede estar ubicado fuera del territorio del EEE, en uno de los llamados terceros países.


Para que la subcontratación en cadena de servicios sea legítima y acorde al ordenamiento jurídico europeo, el cliente (RESPONSABLE DEL FICHERO / TRATAMIENTO), queda obligado a suscribir un contrato de Acceso a Datos, donde se disponga que el prestador del servicio (ENCARGADO DEL TRATAMIENTO) solamente actuará siguiendo las instrucciones del Responsable del Fichero que es objeto del servicio. Si además el prestador del servicio se encuentra ubicado en un tercer país, será preciso obtener la autorización de la autoridad de control correspondiente (En España la AEPD).


Mediante el “contrato de Acceso a Datos”, el Responsable del fichero establecido en la UE, traslada sucesivamente a los diferentes prestadores del servicio que intervienen en el CLOUD, las condiciones y garantías que deben aportar para garantizar el nivel de protección de datos personales, adecuado a la Directiva 95/46/CE.





La forma del “contrato de Acceso a Datos”, se establece en la DECISIÓN DE LA COMISIÓN de 5 de febrero de 2010 [notificada con el número C(2010) 593] 2010/87/UE:



Según la última guía publicada por la AEPD y en el caso de subcontratación para la prestación de servicios de Cloud por parte de terceras empresas, la LOPD exige adoptar garantías adicionales (que han sido ratificadas por la Sentencia del Tribunal Supremo de 15 de julio de 2010, F.D. Décimo).


Estas garantías se refieren a los siguientes aspectos:
  • La identificación de los servicios y la empresa a subcontratar informando de ello al cliente (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).
  • Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas.
  • La celebración de un contrato entre el prestador de servicios de Cloud Computing y los subcontratistas con garantías equivalentes a las incluidas en el contrato con el cliente.


En consecuencia, todo prestador de servicios que forme parte de la cadena de subcontratación en el CLOUD, debe ofrecer suficientes garantías respecto a las medidas de seguridad, técnicas y organizativas, de los datos personales objeto del servicio. Deben protegerse contra el borrado, alteración, difusión o acceso no autorizado y contra cualquier otro tratamiento ilícito de datos personales. La Directiva 95/46/CE solo habla de garantizar un nivel de protección apropiado en relación a los riesgos que presente el tratamiento y la naturaleza de los datos a proteger. Al no concretarse, dichas medidas de seguridad deberán en todo caso, pactarse entre las partes.


En España, la AEPD exige además que el RESPONSABLE DEL FICHERO sea siempre parte contractual firmante del contrato con cualquier subencargado del tratamiento, ubicado en un tercer país, lo cual normalmente es inviable en la práctica, dado que las empresas prestadoras de servicios de CLOUD suelen adelantar sus condiciones mediante cláusulas de adhesión innegociables que incluyen limitaciones de responsabilidad abusivas y alejadas de cualquier garantía de los derechos de los interesados.


Además la cadena de subcontrataciones transnacionales, implica pérdida de control para identificar fehacientemente las partes y su lugar de residencia, provocando que el contrato no llegue a firmarse. Muchas veces la única forma de contratar es mediante una página web.


Cada proveedor actúa según su criterio. Algunos únicamente suscriben con sus clientes un acuerdo de Encargado del Tratamiento a partir de determinados volúmenes de contratación en los conocidos como “Contratos Enterprise”. Para el resto de casos, suelen aportarse declaraciones unilaterales de privacidad a las que quien contrata se limita a adherirse por el mero hecho de solicitar el servicio. 


Cabe recordar que la legislación aplicable será la del Responsable del Fichero o Tratamiento, independientemente del país donde se ubiquen los ficheros con datos de carácter personal en el CLOUD.


No hace falta recordar que carece de valor pactar de forma contractual con el proveedor, cláusulas que contradigan artículos de la LOPD o RLOPD.


5. LA LEGISLACION EUROPEA


5.1 LA DIRECTIVA EUROPEA 95/46/CE.

La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, trata sobre la protección de los derechos y las libertades de  las personas físicas en lo que respecta al tratamiento de los datos personales y la libre circulación de éstos datos. 


Pero algunos opinan que ésta misma directiva está entorpeciendo el intercambio de datos con otros países del entorno extracomunitario. Europa está en clara desventaja comercial y económica respecto a la explotación del CLOUD como modelo de negocio frente a EE.UU. y terceros países, en relación al tratamiento a que pueden ser sometidos los datos de naturaleza personal de los usuarios de dichos servicios que se ofrecen a través de Internet. Se basan en que el Derecho tiende a solventar una necesidad social. Por tanto, hasta que no se constata la existencia del problema, no surge la necesidad de su ordenación jurídica. Quiere ello decir que el Derecho, con sus procesos de elaboración y aprobación de leyes, lentos y burocráticos, siempre irá detrás del desarrollo tecnológico en continua y rápida evolución.

Por otra parte, la innovación y el desarrollo tecnológico no debe ser asumido a cualquier precio, y menos conculcando derechos humanos.


El artículo 25 de la Directiva 95/46/CE dice textualmente:


Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.


2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.


3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2.


4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.


5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.


6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.


Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.


5.2 GT29 (GRUPO DE TRABAJO DEL ARTÍCULO 29)

El denominado “Grupo de Trabajo del artículo 29” es un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad compuesto por un representante de las autoridades de control de cada estado miembro, un representante de las autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea.


Dicho Grupo mantiene que el marco normativo de protección de datos de la UE debe respetarse, sin prejuicio de los beneficios económicos y de calidad de servicio que los nuevos modelos, como el CLOUD, aportan.


Un objetivo del grupo es aclarar el papel de todos los actores en el ámbito de la protección de datos: Las personas afectadas, los responsables del tratamiento, los encargados del tratamiento, las autoridades encargadas de la protección de datos.  Y todas aquellas nuevas figuras que se considere adecuado proponer con el mejor fin.


En el dictamen 05/2012, de 1 de Julio de 2012 sobre la computación en nube [1], el GT29 (Grupo de Trabajo del Artículo 29) analiza todas las cuestiones pertinentes en materia de CSPs (Proveedores de Servicios de Cloud Computing) que operan en el EEE (Espacio Económico Europeo) y sus clientes, especificando todos los principios aplicables de la Directiva europea sobre protección de datos (95/46/CE) y de la Directiva sobre privacidad 2002/58/CE (modificada por la Directiva 2009/136/CE), según proceda.

El GT29 advierte que a pesar de las claras ventajas de la computación en nube, tanto en términos económicos como sociales, el despliegue a gran escala de los servicios de computación en nube puede provocar diversos riesgos para la protección de datos, principalmente la falta de control sobre los datos personales, así como la insuficiente información en relación a cómo, dónde y por quién son los datos tratados o subtratados.

Los organismos públicos y las empresas privadas deben evaluar estos riesgos cuidadosamente al contratar los servicios de un CSP.

En el dictamen examina cuestiones relacionadas con:
  • La puesta en común de recursos con otras partes.
  • La falta de transparencia de una cadena de externalización compuesta por múltiples encargados del tratamiento y subcontratistas.
  • La inexistencia de un marco común general de portabilidad de datos.
  • La incertidumbre con respecto a la admisibilidad de la transferencia de datos personales a los proveedores establecidos fuera del EEE.

Del mismo modo se aborda en el dictamen, como cuestión preocupante, la falta de transparencia en cuanto a la información que un responsable del tratamiento puede proporcionar a los interesados sobre la manera en que se tratan sus datos personales. Los interesados deben ser informados de quién trata sus datos y para qué fines, a fin de poder ejercer los derechos que tienen a este respecto.

Una de las principales conclusiones es que las empresas y las AA.PP. que deseen utilizar la computación en nube deben efectuar, como un primer paso, un análisis de riesgos completo y riguroso.

Los proveedores en el EEE deben proporcionar al cliente toda la información necesaria para evaluar adecuadamente los pros y los contras de la adopción de tal servicio.

Los principales impulsores de la oferta de servicios de computación en nube para los clientes deberán ser:
  • La seguridad
  • La transparencia
  • La seguridad jurídica


Por lo que respecta a las recomendaciones contenidas en el dictamen, se subrayan las responsabilidades de un cliente de servicios de computación en nube como responsable del tratamiento y se recomienda, por tanto, que el cliente seleccione un proveedor de servicios de computación en nube que garantice el cumplimiento de la legislación de la UE sobre protección de datos.

El dictamen aborda las salvaguardias contractuales apropiadas estableciendo la condición de que todo contrato entre el cliente y el proveedor deberá ofrecer garantías suficientes en términos de medidas técnicas y organizativas. También es importante la recomendación de que el cliente de servicios computación en nube deberá verificar si el proveedor de tales servicios puede garantizar la legalidad de las transferencias internacionales de datos.


6. ÁMBITO TERRITORIAL DE APLICACIÓN DEL RLOPD

El Artículo 3 del reglamento de despliegue de la LOPD aprobado por Real Decreto 1720/2007, de 21 de Diciembre, aporta elementos sobre el ámbito territorial:


Artículo 3. Ámbito territorial de aplicación.

1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:


a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.


Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.


b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.


c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.


En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español.


2. A los efectos previstos en los apartados anteriores, se entenderá por establecimiento, con independencia de su forma jurídica, cualquier instalación estable que permita el ejercicio efectivo y real de una actividad.


Luego en España la situación del Cloud Computing es más difícil, a efectos de cumplimiento legal, que en otros países de la UE.


Por un lado, las sanciones económicas por incumplimiento son de elevada cuantía ya que la LOPD califica las infracciones como leves, graves o muy graves. Según la infracción, las sanciones pueden oscilar:
  • De 900 a 40.000 euros para las leves.
  • De 40.001 a 300.000 euros para las graves.
  • De 300.001 a 600.000 euros para las muy graves.


Y por otro el RLOPD es muy rígido jurídicamente a partir del título VIII “Las medidas de seguridad en el tratamiento de datos de carácter personal”.


Para corroborarlo, si una empresa española contrata los servicios de CLOUD con un proveedor que efectúa procesos en terceros países, si omite la autorización que debe solicitar a la AEPD en concepto de transferencia internacional de datos con países que no proporcionan un nivel de protección equiparable, se considera una infracción muy grave sancionable con multa entre 300.001 y 600.000 euros.

Si lo que omite es firmar el “contrato  de Acceso a Datos”, se le puede sancionar con multa entre 900 y 40.000 euros al tratarse de una infracción leve.

Ello puede significar, en momentos de dificultades para el acceso a créditos, el cierre de muchas empresas por falta de liquidez.


Por otro lado los proveedores ubicados en terceros países, por cuestiones de coste, no están dispuestos a aceptar las cláusulas de responsabilidad que los contratos conllevan, ni el cumplimiento de la rígida normativa europea.


A nivel tecnológico sí que parece que la seguridad está cada vez más garantizada, aunque no lo esté a nivel legal, especialmente después de invalidarse los acuerdos de "Safe harbor".


Para resumir, las empresas españolas se encuentran en muchos casos en una situación jurídicamente insegura y empresarialmente arriesgada.


Hoy por hoy, y a falta de una regulación más adecuada a la realidad del CLOUD, el mejor consejo es contratar los servicios con proveedores de ámbito del EEE o en su defecto, que al menos realicen toda su cadena de tratamiento en países catalogados con “nivel adecuado de protección”.


7. BIBLIOGRAFÍA CONSULTADA


- AEPD. “Orientaciones para prestadores de servicios de Cloud Computing”. Abril de 2013.
Guía para CSPs

- AEPD. “Guia para clientes que contraten servicios de Cloud Computing”. Abril de 2013.
Guía para Clientes

- Ramón Miralles. 2010. “Cloud Computing y protección de datos”. Revista de Internet, Derecho y Política Nº 11. Monográfico “VI Congreso Internet, Derecho y Política. Cloud Computing: El Derecho y la Política suben a la nube”.

- Varios autores. 2012. Monográfico “Computación en la Nube”. Revista NOVATICA Nº 215 de la Asociación de Técnicos en Informática.

- Ana María Marzo Portera. 2011. “Privacidad y Cloud Computing, hacia dónde camina Europa”. Revista de la Facultad de Ciencias Sociales y Jurídicas de Elche. Volumen I, número 8.

- COMISIÓN EUROPEA. 2011. “Un enfoque global de la protección de los datos personales en la Unión Europea”. COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES.
http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf

- IBM Global Technology Services. 2011. "Security and high availability in Cloud computing environments". Technical white paper.


- INCIBE. “GUIA PARA EMPRESAS: SEGURIDAD Y PRIVACIDAD DEL CLOUD COMPUTING”. Octubre 2011.
Guía INCIBE para empresas



- ENISA. “COMPUTACIÓN EN LA NUBE. BENEFICIOS, RIESGOS Y RECOMENDACIONES PARA LA SEGURIDAD DE LA INFORMACIÓN”. Noviembre de 2009.
Guía ENISA Cloud

- CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA / AEPD. “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal”.
Informe

- [1] GRUPO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de Julio de 2012. 01037/12/ES. WP 196.
WP196

8. CONTROL DE CAMBIOS DEL ARTÍCULO

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/05/2012
Redacción inicial del artículo
Autor
16/01/2015
Se actualiza el artículo en relación al enfoque general.

11/10/2015
A raíz de la sentencia del TJUE, de fecha 6 de octubre de 2015, invalidando la Decisión de la Comisión 2000/520/CE sobre los acuerdos de “Safe harbor”, se actualiza el artículo en lo referente a detalles de las TID.

Autor















9. DERECHOS DE AUTOR


Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas creadas por el autor.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.




3 comentarios:

  1. Muy interesante tu artículo y bien documentado. Felicitaciones.

    ResponderEliminar
  2. Gran artículo, muy interesante, te dejo un link a un artículo que escribí yo hace algún tiempo por si te interesa http://bit.ly/J2W1XJ

    Un saludo y enhorabuena de nuevo por el post

    ResponderEliminar
  3. Un gran artículo de mucha calidad sobre la protección de datos!

    Saludos,
    Proteccion datos valencia

    ResponderEliminar