TECNOLOGÍA

Cloud computing y protección de datos

Tal y como la propia Agencia Española de Protección de Datos declara en su “Guía para clientes que contraten servicios de Computing” que ha sido tomada como referencia para el desarrollo del presente apartado, el Cloud Computing o computación en nube es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública.

El modelo de provisión de tecnología bajo cloud o como servicio (bajo demanda) garantiza a los usuarios una eficiente optimización de la asignación de recursos y los costes asociados a los mismos, en tanto única y exclusivamente se paga (en caso de tener coste el servicio) por el uso que se realice del servicio.

En función de la modalidad de cloud que se utilice por parte del usuario es posible que los datos personales no se encuentren bajo el control exclusivo del proveedor del servicio (encargado de tratamiento), sino que gran parte del servicio se encuentre bajo el control de un tercero, encargado de proveer habitualmente los servidores y la infraestructura física para alojar la información, así como las redes y conectividad necesarias para que los servicios cloud sean efectivamente prestados.

Este modelo de arquitectura que es habitual en la provisión de servicios cloud implica, en la mayoría de los casos, que el responsable del fichero desconozca dónde se encuentran efectivamente alojados y por tanto ubicados los datos personales, así como quiénes están efectivamente tratando los datos personales y con qué finalidades. Todo ello lleva a situaciones en las que el responsable del fichero no puede ejercer un control directo de acceso a los mismos, de su borrado y de su portabilidad, ya que la información no está físicamente en su poder, aunque, si esa información contiene datos de carácter personal, sí está bajo su responsabilidad desde el punto de vista de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).

Contrato de encargado de tratamiento que prevea la subcontratación

Dado que es habitual que en la provisión de servicios cloud (al menos los basados en una nube pública o también conocidos como Software as a Service) intervengan al menos tres sujetos diferentes (responsable del fichero, proveedor del servicio de la sociedad de la información o encargado de tratamiento y proveedor de la infraestructura necesaria para la provisión del servicio de la sociedad de la información o subencargado de tratamiento).

Es necesario tener en consideración los siguientes aspectos:

  1. Que exista un contrato de encargado de tratamiento entre el responsable de fichero y el encargado de tratamiento (proveedor del servicio).

  2. Que el contrato de prestación de servicios cloud incorpore al menos los siguientes aspectos:

    1. Cláusula de cumplimiento de las obligaciones dispuestas en el artículo 12.2 LOPD, ampliamente analizado en el presente módulo.

    2. Cláusula que autorice expresamente las subcontrataciones para la provisión del servicio, debiendo especificarse.

  3. Que en caso de que la ubicación del encargado de tratamiento o alguno de los subencargados de tratamiento se encuentre en un tercer Estado sin un nivel adecuado de protección, necesario incluir en el contrato las cláusulas tipo correspondientes aprobadas por la Comisión Europea.

Ubicación. Transferencias internacionales de datos

En segundo lugar, es de vital importancia a la hora de contratar servicios basados en cloud determinar dónde se encuentran ubicados los datos personales y, en su caso, cuál es la nacionalidad y ubicación del proveedor del servicio y en su caso de los subencargados de tratamiento necesarios para la provisión del servicio.

En este sentido, es necesario tener en consideración los siguientes escenarios en lo que respecta a la ubicación del encargado o subencargado de tratamiento:

  1. Transferencias internacionales de datos entre responsables de tratamiento (comunicación de datos): Para este tipo de transferencias se considerará que reúnen las garantías adecuadas los contratos celebrados en los términos previstos en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior. Cada una de las Decisiones de la Comisión Europea contiene un conjunto de cláusulas contractuales tipo. Los responsables del tratamiento podrán optar por uno u otro conjunto de cláusulas, pero no podrán modificarlas ni combinar elementos de distintas cláusulas ni de los conjuntos. En estos casos de transferencias internacionales de datos, las cláusulas imponen al importador de datos localizado en un Estado que no ofrece un nivel de protección adecuado el deber de cumplir con determinados principios generales de protección de datos personales. Estos principios son:

    1. Limitación de la finalidad.

    2. Calidad y proporcionalidad de los datos.

    3. Transparencia.

    4. Seguridad y confidencialidad.

    5. Derechos de acceso, rectificación, supresión y bloqueo.

    6. Restricciones a las transferencias ulteriores.

    7. Categorías especiales de datos.

    8. Marketing directo.

    9. Decisión individual automatizada.

  2. Transferencias internacionales de datos de responsable a encargado del tratamiento (acceso por cuenta de terceros): Cuando la transferencia de datos se realice entre un responsable y un encargado del tratamiento se considerará que reúnen las garantías adecuadas los contratos que incluyan las cláusulas contractuales tipo establecidas en la Decisión de la Comisión Europea 2010/87/ UE, de 5 de febrero de 2010.

  3. Transferencia internacional de datos de encargado a subencargado del tratamiento (subcontratación del tratamiento de datos): Se podrán autorizar transferencias internacionales de datos entre un encargado del tratamiento (exportador de datos), establecido en España, y un subencargado del tratamiento (importador de datos), ubicado en un país que no garantiza un nivel adecuado de protección, siempre que por el exportador de datos se aporten las garantías suficientes de respeto a la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. Se considerará que proporcionan las garantías adecuadas los contratos que incluyan las cláusulas tipo adoptadas por la Agencia Española de Protección de Datos en su Resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Además del contrato entre el encargado del tratamiento de los datos y el subencargado del tratamiento, se requiere el contrato marco entre el responsable del tratamiento y el encargado del tratamiento de datos en el que aquel autorice la subcontratación y la transferencia internacional de datos.

  4. Transferencia internacional de datos de un encargado de tratamiento situado fuera del EEE a un subencargado también situado fuera del EEE: La Decisión de la Comisión 2010/87/UE permite la subcontratación del tratamiento de datos por parte de un encargado de tratamiento situado fuera del EEE, con subcontratistas, localizados también fuera del EEE, atendiendo a una serie de requisitos:

    1. Es preciso el consentimiento por escrito del exportador de datos (responsable del fichero o tratamiento) para que el importador (ET) pueda subcontratar en su nombre un tratamiento de datos.

    2. Habiendo prestado el exportador de datos su consentimiento a la subcontratación, el importador de los datos debe suscribir un acuerdo escrito con el subencargado en el que le imponga las mismas obligaciones que le son de aplicación al importador de datos conforme a esta Decisión de la Comisión, y que se rige por la legislación del Estado miembro del exportador de datos.

    3. El importador de los datos debe facilitar al exportador, sin demora, copia de los contratos que suscriba con los subencargados de tratamiento. Del mismo modo, el importador de los datos debe poner a disposición de los interesados, previa petición de estos, copia de los contratos suscritos para la subcontratación del tratamiento de datos, con sujeción a determinados requisitos.

    4. El importador de los datos es plenamente responsable frente al exportador de los datos del cumplimiento de las obligaciones del subencargado del tratamiento bajo el contrato que ambos suscriban conforme a la citada Decisión.

    5. El importador de datos debe conservar la lista de acuerdos de subcontratación del tratamiento de datos que haya suscrito. Este listado deberá actualizarse al menos anualmente y estar a disposición de la AEPD y del exportador de los datos.

Transparencia por parte de los sujetos implicados en la provisión del servicio

Con relación al control de la localización de los datos de un usuario, un servicio de cloud puede ser auditable o transparente (en el sentido de la palabra inglesa accountable) cuando el contratista puede reclamar información precisa de dónde, cuándo y quién ha almacenado o procesado sus datos (dentro de los recursos propios del proveedor o de la cadena de subcontrataciones), y en qué condiciones de seguridad se ha producido.

En caso contrario, será un servicio opaco al usuario, en el que este no tiene opción alguna de obtener información precisa de qué ha ocurrido con sus datos ni herramientas para auditar el servicio que se le está proporcionando y en el que su propia información escapa a su control.