Cloud computing y protección de datos personales. regulando el desorden.

Segunda versión actualizada del estudio didáctico del modelo CLOUD COMPUTING, de entrega de servicios externalizados de TI, incidiendo en los aspectos legislativos en materia de protección de datos de naturaleza personal.

1. INTRODUCCIÓN AL MODELO DE TI BASADO EN CLOUD COMPUTING

4.1. MODELOS DE DESPLIEGUE EN EL CLOUD
4.2. MODELOS DE SERVICIO EN EL CLOUD
4.3. AFECTACIÓN A LOS ACTORES, EN FUNCIÓN DEL MODELO DE SERVICIO

5.1. LA DIRECTIVA EUROPEA 95/46/CE
5.2. EL GRUPO DE TRABAJO DEL ARTÍCULO 29

El cambio de paradigma en la informática (entendida como tratamiento de la información), focaliza ahora en los servicios ofrecidos a los clientes. La infraestructura electrónica necesaria para cumplir los objetivos propuestos, deja de tener importancia mientras cumpla su misión.

La suma de dos elementos, por un lado "Internet"

El NIST (National Institute of Standards and Technology), considera que para poder hablar de CLOUD Computing de forma correcta, deben cumplirse al menos cinco características esenciales:

Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una simple cesión (que puede resolverse mediante la suscripción del preceptivo contrato entre responsable y encargado del tratamiento) o bien una TID ( Transferencia Internacional de Datos) que conlleva obligaciones legales adicionales.

Una TID, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la TID pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AEPD (Agencia Española de Protección de Datos), salvo:

• Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.

• Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.

La relación de países cuyo nivel de protección se considera equiparable por la AEPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:

Las entidades estadounidenses adheridas a los principios de " Puerto Seguro" (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.

El " acuerdo de puerto seguro UE-EE.UU.", surge para compatibilizar la directiva de la Comisión Europea sobre protección de datos que entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no comunitarios que no cumplan con la Unión Europea (UE) la necesaria "adecuación" para la protección de la privacidad. Si bien los Estados Unidos y la UE comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos tienen un enfoque diferente a la vida privada de la adoptada por la UE. A fin de salvar estas diferencias de enfoque y proporcionar un medio eficiente para las organizaciones de Estados Unidos para cumplir con la Directiva, el Departamento de Comercio de EE.UU., en consulta con la Comisión Europea desarrolló un marco de "puerto seguro" y el sitio web http://export.gov/safeharbor/ , para proporcionar la información que una organización necesitaría para evaluar y unirse al programa "US-EU Safe Harbor".

Un error de concepto típico (lo he visto hace poco en un artículo publicado) es considerar que un proveedor con"safe Harbor" suscrito, es equivalente a uno del EEE. Falsa creencia ya que simplemente se le considera tercer país con nivel de protección equiparable. Debe informarse de la TID a la AEPD, aunque no haga falta esperar ninguna autorización del director de la Agencia.

Pese a ello, debe tenerse en cuenta que no es la sede de la matriz de un proveedor la ubicación de referencia, sino el CPD (de los muchos que pueda disponer)donde se alojan los datos. En consecuencia, una empresa de USA podría tener el CPD en un tercer país, dificultando así el análisis de la situación.

Los siguientes supuestos son excepciones a la necesidad de autorización del director de la AGPD, se regulan en el Art. 34 de la LOPD:

• Las comunicaciones de datos dentro del EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español.

• Las comunicaciones de datos a países con "nivel de protección equiparable" según la AGPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AGPD, pero si la notificación a la Agencia.

• Para las comunicaciones de datos con el resto de países, es necesario notificarlo, solicitar y esperar la autorización del Director de la AGPD.

Si elegimos un proveedor de servicios con los datos ubicados en un país del EEE, nuestra introducción de datos en el servidor o mediante el servicio contratado, no se considerará una TID.

Artículo 12. Acceso a los datos por cuenta de terceros.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo, deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Desde el punto de vista del despliegue, distinguiremos entre:

El proveedor de servicios CLOUD en modalidad IaaS y PaaS, no tiene conocimiento de la existencia de datos de carácter personal, a no ser que nosotros se lo comuniquemos explícitamente.

Estas garantías se refieren a los siguientes aspectos:

• La identificación de los servicios y la empresa a subcontratar informando de ello al cliente (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).

• Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas.

• La celebración de un contrato entre el prestador de servicios de Cloud Computing y los subcontratistas con garantías equivalentes a las incluidas en el contrato con el cliente.

Cada proveedor actúa según su criterio. A modo de ejemplo citaré que Microsoft, al redactado de éste artículo, solo firma con sus clientes un acuerdo de Encargado del Tratamiento a partir de determinados volúmenes de contratación en los llamados "Contratos Enterprise". Para el resto de casos, aporta documentos como el de "Seguridad y Privacidad en la Nube" o la " Declaración de Privacidad de la Plataforma Microsoft Online Services" http://www.microsoft.com/online/legal/?langid=es-es&docid=1 donde aseguran dar cumplimiento a los principios de seguridad en materia de protección de datos, establecidos por la directiva de privacidad europea.

La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, trata sobre la protección de los derechos y las libertades de las personas físicas en lo que respecta al tratamiento de los datos personales y la libre circulación de éstos datos.

El denominado "Grupo de Trabajo del artículo 29" es un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad compuesto por un representante de las autoridades de control de cada estado miembro, un representante de las autoridades creadas por las instituciones y organismos comunitarios y un representante de la Comisión Europea.

En el dictamen 05/2012, de 1 de Julio de 2012 sobre la computación en nube [1], el GT29 (Grupo de Trabajo del Artículo 29) analiza todas las cuestiones pertinentes en materia de CSPs (Proveedores de Servicios de Cloud Computing) que operan en el EEE (Espacio Económico Europeo) y sus clientes, especificando todos los principios aplicables de la Directiva europea sobre protección de datos (95/46/CE) y de la Directiva sobre privacidad 2002/58/CE (modificada por la Directiva 2009/136/CE), según proceda.

En el dictamen examina cuestiones relacionadas con:

Los principales impulsores de la oferta de servicios de computación en nube para los clientes deberán ser:

Artículo 3. Ámbito territorial de aplicación.

Por un lado, las sanciones económicas por incumplimiento son de elevada cuantía ya que la LOPD califica las infracciones como leves, graves o muy graves. Según la infracción, las sanciones pueden oscilar:

7. BIBLIOGRAFÍA CONSULTADA

- AEPD. "Orientaciones para prestadores de servicios de Cloud Computing". Abril de 2013.

Guía para CSPs

http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf

- 01037/12/ES. [1] GRUPO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. "Dictamen 05/2012 sobre la computación en nube". 1 de Julio de 2012. WP 196.

Es asociado sénior de la José Luis Colom Planas es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.A partir de su dilatada experiencia, edita el Blog temático "Aspectos Profesionales" relacionado con el Derecho digital en sentido amplio. APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro deObservatorio Iberoamericano de Protección de Datos ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del .