miércoles, 4 de marzo de 2015

La LOPD por las Nubes

Informacion digital
Los datos personales y la nube: un asunto complejo
En un artículo anterior pudiste encontrar información general sobre "la nube". En esta ocasión me gustaría hablarte del cloud computing en relación con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).


Como autónomo o empresario debes cumplir esta ley, además de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), en caso de que existan comunicaciones o comercio electrónico, o sea, para todos los que desarrollamos una actividad profesional en el siglo XXI.


Y este cumplimiento es obligatorio, aunque tus datos anden "por las nubes".


Y, como cedente de tus datos personales, también debes saber que la empresa o autónomo a quien se los cedas debe cumplir esta legislación, aunque contrate un servicio de cloud computing. La seguridad de tu información personal depende de ello.


A continuación te daré unas cuantas claves para que no te lleves más de un disgusto.


Antes de subir la información a la nube


Debes valorar qué datos personales de tus contactos puedes subir y cuáles no. Piensa que tú no tienes el control absoluto sobre esa información y su tratamiento y, a veces, es mejor no ceder esos datos a un tercero para garantizar su integridad. 


Valora qué tipo de nube que interesa contratar:


  • Pública. Presta servicio a particulares y empresas, de forma abierta y con una relación regulada por un contrato de prestación de servicio.
  • Privada. No se presta servicio a terceros, sólo a la entidad que la gestiona. De tal forma que esa entidad tiene el control total sobre la nube.
  • Híbrida. En este tipo de cloud computing unos servicios se prestan de forma pública y otros de manera privada.  


Precios

 
Contrasta precios y condiciones de varios proveedores antes de contratar. No te dejes llevar sólo por los cantos de sirena del precio y céntrate sobre todo en la seguridad.

 
Seguridad del servicio prestado


Ten en cuenta que tú eres el responsable el fichero y es una obligación que no se cede al contratar a un proveedor de cloud computing. Este será en encargado del tratamiento de los datos, pero no será responsable en caso de problemas con esa información. 

 
Ordenador
Verifica las condiciones del servicio: es tu responsabilidad
Es nuestra obligación verificar las condiciones en las que se prestará el servicio.

 
Debemos requerir información real, precisa y completa de cómo se va a llevar a cabo el tratamiento de los datos que subimos a la nube por parte del proveedor.


El proveedor te debe informar de cualquier incidencia relacionada con tus datos y de cómo la ha solventado.

 
Puedes exigir la comprobación de las medidas de seguridad del proveedor. También es posible que las audite un tercero si llegáis a un acuerdo.

 
Puedes exigir también que el proveedor te garantice su certificación de seguridad


Subcontrataciones


Averigua si subcontrata en todo o en parte alguno de los procesos. En caso afirmativo el proveedor deberá exigir a la empresa subcontratada todas las medidas y garantías de seguridad.   


Recuperación de los datos


Disco duro
Piensa que, aunque no deberías ser así, no siempre es fácil que el proveedor de cloud computing te facilite los datos personales que tú le has confiado y que obran en su poder. Bien porque no te los dan, bien porque el formato en el que te los entrega no te es útil para su proceso. Por ello es necesario conocer previamente cómo se llevará a cabo la entrega de esos datos en caso de que los requieras. Y que figure por escrito, claro.  

 
Cancelación del servicio


Es necesario que nos informen de las condiciones de cancelación del servicio, en cuanto a cómo se llevará a cabo el retorno de los datos, del protocolo para el borrado de los mismos, de si se devolverá el control íntegro sobre esa información, etc.

 
Ubicación de los servidores


El mundo en tus manos
¿Dónde está ubicada la información?
Otro de los puntos a tener en cuenta es dónde estarán ubicados de forma física nuestros datos a lo largo del tiempo. Este asunto es importante, puesto que según la localización de los datos, podremos ofrecer garantías de seguridad a sus titulares o no.


  • En España la legislación aplicable es la LOPD.
  • En el espacio europeo las garantías son las mismas que en nuestro país, de tal modo que no hace falta informar al titular de los datos del traspaso internacional de su información personal.
  • Pero, y siempre hay un pero, cuando se trata de países de fuera del espacio europeo la cosa cambia y las garantías están en entredicho. Dependerán de la legislación de cada país y de si el proveedor está en condiciones de proporcionar garantías jurídicas suficientes. Por ejemplo, en EE.UU. las autoridades pueden exigir el acceso a los datos de ciudadanos extranjeros que obren en poder el proveedor, incluso cuando se declaran puerto seguro (safe harbor). Por no hablar de las dificultades que encuentra la Administración española en caso de problemas jurídicos con el proveedor.


El contrato


La relación entre la persona o empresa que requiere el hosting de datos y su proveedor se debe regular mediante un contrato.

 
Los contratos pueden ser negociados o de adhesión.


  • En los contratos negociados, el cliente puede negociar cláusulas de seguridad para sus datos específicas para sus necesidades.
  • En los contratos de adhesión, el contrato es igual para todos los clientes y no es posible que puedan establecerse condiciones específicas de ningún tipo.

 
Es necesario saber que, aunque se firme un contrato de prestación de servicios, el responsable último de los datos personales es el cliente que sube esa información a la nube; tanto ante el titular de los datos como ante la Ley.


Como cliente


Cloud computing
Tus datos deben estar seguros, incluso en la nube.
Debes exigir que el autónomo o la empresa a la que cedas tus datos personales cumplan con la legislación vigente y te informe de que está recopilando información, para qué lo está haciendo, de tus derechos ARCO y, en caso de que almacene tus datos en un servidor internacional, te lo indique, así como las condiciones en las que tiene contratado este servicio fuera del territorio europeo.




Información de interés:

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
Guía para Clientes que Contraten Servicios de Cloud Computing AEPD.


Post relacionados:

La Nube para "Dummies".
Cómo Inscribir Ficheros en la Agencia Española de Protección de Datos.

 








No hay comentarios:

Publicar un comentario

Estamos encantados de que nos dejes tus aportaciones, porque tu opinión es importante para nosotros. Sólo te pedimos que, por favor, no publiques links ni contenidos publicitarios de ningún tipo, porque estos no serán publicados. Si deseas anunciarte, contacta con nosotros previamente. Gracias.

¿Ya nos sigues por correo electrónico?