La contratación de servicios cloud implica, en muchos de los casos, la aparición de diversos actores (clientes, proveedores y partners, subcontratos de terceros), diversas modalidades de servicios (IaS, PaS, SaS, etc.), soluciones de portabilidad (abiertas que permiten la transferencia de información de un proveedor a otro o al propio cliente, garantizando la disponibilidad y continuidad del servicio y cerradas donde la transferencia de información puede presentar diferentes grados de dificultad hasta, incluso, su imposibilidad), localización y ubicación geográfica del proveedor y sus recursos, cumplimiento de las garantí­as contractuales (mediante contratos negociados o de adhesión en la mayorí­a de las ocasiones) y falta de transparencia y de control.

En cualquier caso hay que tener presente las obligaciones exigidas y responsabilidades definidas por la LOPD. En este contexto la AEPD da una serie de recomendaciones para la contratación de servicios en la nube de acuerdo con la normativa de cumplimiento de protección de datos:

  1. Antes de proceder a la contratación de este tipo de servicios analizar qué tipo de datos serán los que se llevarán a la nube y los que estarán en local.
  2. La responsabilidad sobre los datos seguirá siendo siempre del cliente, la responsabilidad sobre su tratamiento no se transfiere al proveedor aunque sea el encargado del tratamiento.
  3. Independientemente de la ubicación geográfica del proveedor o de los datos, incluso si están disociados, la legislación aplicable siempre será la española, la LOPD y el RLOPD.
  4. Generalmente suelen intervenir, además del proveedor, terceros para la prestación de servicios. Si es así­ el proveedor debe de informar sobre los servicios que se subcontraten y las empresas que los proporcionan y asumir las garantí­as jurí­dicas para el tratamiento de datos tanto como las suyas.
  5. La ubicación f­ísica de los datos es de gran relevancia pues en el Espacio Económico Europeo (UE, Islandia, Liechtenstein y Noruega)  no se considera que exista transferencia internacional de datos y sí­ fuera del Espacio Económico Europeo que, dependiendo del paí­s deberá proporcionar las garantí­as jurí­dicas adecuadas.
  6. Asegurarse si hay transferencias internacionales de datos  y con qué garantí­as. Se consideran garantí­as adecuadas para la transferencia internacional de datos que el paí­s de destino presente nivel de protección equivalente al del Espacio Económico Europeo (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda) acordado por la AEPD  o la Comisión Europea y las empresas USA que hayan suscrito los principios de Puerto Seguro (notificación o información a los afectados, opción o posibilidad de oposición de los afectados, transferencia a terceras empresas, seguridad, integridad de los datos, derecho de acceso y aplicación de procedimientos para la satisfacción de los derechos de los afectados). En otros casos el exportador de los datos deberá aportar las garantí­as adecuadas para efectuar la transferencia previa autorización del Director de la AEPD. En su caso el proveedor debe de informar, salvo que lo prohíba la ley local, sobre los requerimientos de la autoridad competente en un paí­s para solicitar y obtener información sobre los datos personales propiedad del cliente.
  7. Las medidas de seguridad que proporcione el proveedor serán las adecuadas al nivel de seguridad correspondiente al tipo de dato de carácter personal que se trate según la LOPD, y que garanticen la integridad de los datos, eviten accesos no autorizados y permitan, en su caso, la recuperación de la información. Deben de ser equivalentes a las implantadas  en el acceso a la información en sus propios sistemas en local.
  8. El cliente debe de asegurarse de que el proveedor cumple y garantiza las medidas de seguridad correspondientes mediante certificación de seguridad o auditorí­a externa y ser informado de los incidentes de seguridad y medidas adoptadas para su resolución.
  9. El proveedor es responsable de mantener la confidencialidad de los datos y tiene que garantizar que solamente se utilizan para los servicios contratados.
  10. El proveedor debe de garantizar la portabilidad de tal forma que el cliente tenga acceso a toda su información para almacenarla en sus sistemas o en los de otro proveedor para su utilización manteniendo la integridad y sin costes adicionales en caso de resolución del contrato, cese del servicio, intervención inadecuada de un tercero, transferencia de datos a paí­ses que no aporten garantí­as adecuadas y modificación unilateral de las condiciones de prestación del servicio.
  11. A solicitud del cliente el proveedor deberá proceder al borrado seguro de datos y siempre al finalizar el contrato, garantizándolo mediante certificado de destrucción.
  12. El proveedor debe de prestar su cooperación mediante el suministro de las herramientas pertinentes al cliente que garanticen el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de sus usuarios.
Valore este artículo si lo desea
[Total: 0 Average: 0]