Saltear al contenido principal

Contratación de servicios de Cloud Computing y protección de datos.

Fuente Pixabay CC0 Public Domain

Independientemente de si es gratuito o de pago y su modalidad (alojamiento, software, etc), cuando se utilicen estos servicios, debemos cumplir con una serie de obligaciones legales. Recientemente la Agencia Española de Protección de Datos ha editado dos Guías informativas que dan a conocer estas obligaciones, una para los usuarios que los utilizan y otra para los prestadores de estos servicios.

Y es que no hay que olvidar que la utilización de un servicio de Cloud Computing no deja de ser un acceso a datos regulado en el artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y en su reglamento de desarrollo (artículos 20-22 del RD 1720/2007). Y esto es así porque el prestador accede a datos en cumplimiento de una licencia gratuita de uso o de un contrato de prestación de servicio (labores de alojamiento, evitar caídas de red, restauración de datos, migración de datos, copia de seguridad, mantenimiento del software de gestión, etc). También debemos tener en cuenta que se aplicará la legislación española cuando el cliente o usuario del servicio (responsable del tratamiento) sea español o se encuentre ubicado en territorio español (véase lo dispuesto en el artículo 2 de la LOPD), independientemente de la nacionalidad y / o ubicación del prestador de cloud o de sus servidores (alquilados o en propiedad).

La primera cuestión a destacar es que el prestador del servicio o encargado de tratamiento, de acuerdo con lo establecido en el mencionado artículo 12 “únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. Claro está que en la mayoría de estos servicios se utilizan contratos de adhesión con condiciones y cláusulas contractuales generales y cerradas, sin posibilidad de negociación por parte del contratante. Y como la LOPD impone al responsable del tratamiento (cliente o usuario del servicio de cloud) un deber in vigilando o de diligencia sobre el tratamiento de datos por parte del prestador del servicio, la Agencia Española de Protección de Datos establece que en la contratación de estos servicios o licencias de uso, debe regir el principio de “transparencia y diligencia en la contratación”.  El cliente deberá verificar que en el contrato de cloud se recogen todas las estipulaciones legales del acceso a datos regulados en la LOPD y el RD 1720/2007 y el prestador deberá ofrecer esta información. En caso contrario, el cliente debería abstenerse de contratar el servicio, ya que sería responsable del mal uso o tratamiento de los datos que el prestador de cloud pueda realizar.

Bajo el prisma de la obligación de formalizar un contrato conforme a lo establecido en el artículo 12 de la LOPD y el principio de transparencia, debemos tener en cuenta los siguientes aspectos:

  • Debe quedar fijado el alcance del acceso a datos por parte el prestador del servicio de cloud, fijando detalladamente en que consiste el servicio, y por que motivos o causas se va a acceder o se puede llegar a acceder a los datos personales (copia de seguridad, caídas de red, mejora y mantenimiento del software etc). De este modo cualquier extralimitación en el uso o tratamiento de los datos por parte del prestador de cloud, será responsabilidad de este último al sobrepasar las funciones contractualmente pactadas.
  • Si el prestador de cloud va a subcontratar todo o parte del servicio, deberá quedar debidamente autorizado por el cliente según lo previsto para esta figura en el artículo 21 del RD 1720/2007. Hay que tener en cuenta que el prestador puede tener alquilados a un tercero los servidores de alojamiento o bien contratar con un tercero la realización de copias de seguridad remotas.
  • El prestador de cloud debe implantar las medidas de seguridad acordes al nivel de datos tratados. Estas medidas están reguladas en el artículo 9 de la LOPD y desarrolladas en el RD 1720/2007, y el cliente o usuario deberá cerciorarse de la implantación de estas medidas (preguntando directamente, exigiendo una certificación del resultado positivo de la última auditoría bienal, haciendo constar en el contrato el nivel de seguridad adoptado, encargando una auditoría externa, etc). Debido al acceso remoto a este tipo de servicios, la utilización del cifrado de datos adquiere vital importancia y es conveniente cerciorarse de la aplicación de esta técnica.
  • Finalizada la relación contractual o extinguida la licencia de uso, el prestador deberá destruir o devolver los datos al cliente. La destrucción podría llevarse a cabo a través de la emisión de un certificado o bien que el cliente disponga de herramientas de borrado en la aplicación (si es el caso). La devolución de los datos ha creado el “derecho a la portabilidad” en virtud del cual el prestador debe devolver los datos al cliente o entregarlos a un nuevo prestador de cloud en un soporte legible o en el soporte pactado en el contrato.
  • La contratación de un servicio de cloud no exime de la obligación de facilitar a los afectados por el tratamiento el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición), por lo que es conveniente preguntar al prestador de cloud sobre las técnicas, protocolos, procedimientos y herramientas implantadas para facilitar estos derechos.
  • Para finalizar debemos tener en cuenta que el servicio o una parte del mismo (copia de seguridad, alojamiento, etc) puede estar ubicado fuera del territorio del Espacio Económico Europeo, lo que supone que se estaría produciendo una transferencia internacional de datos. Las transferencias internacionales de datos deben ser notificadas al Registro General de Protección de Datos a través del Sistema NOTA y requieren autorización previa del Director de la Agencia Española de Protección de Datos, salvo que:

I.      Se realicen a un país con un “nivel adecuado de protección”. La Comisión Europea ha ido reconociendo a través de Decisiones a los países que ha considerado que su legislación cumple con unos requisitos de protección similares al de la Directiva 95/46/CE (Canadá, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda). Esta lista se irá incrementando en breve ya que en muchos países están entrando en vigor o, se están tramitando parlamentariamente, leyes sobre el derecho a la protección de datos personales o Habeas Data.

II.      Que se realice a una empresa estadounidense que se encuentre adherida a los principios de Puerto Seguro (Safe Harbor) . Nota del autor: esta disposición queda anulada por la STJUE de 6 de octubre de 2015 en el caso C-362/14 Schrems vs Data Protection Commissioner (w Facebook).

III.      Se encuadre en alguna de las excepciones del artículo 34 de la LOPD:

“a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

 f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

A los efectos de la solicitud de autorización previa al Director de la Agencia Española de Protección de Datos, debemos presentar un contrato entre el importador y el exportador de datos que aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Se considerara que reúnen las garantías adecuadas los contratos celebrados en los términos previstos en las Decisiones de la Comisión de las Comunidades Europeas 2001/497/CE de 15 de junio de 2001relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país, 2004/915/CE de 27 de diciembre de 2004 por la que se modifica la Decisión 2001/497/CE. Para los supuestos en los que la transferencia de datos se realice entre el responsable y un encargado del tratamiento (supuesto habitual del cloud computing) serán aplicables las cláusulas contractuales tipo establecidas en la Decisión 2010/87/UE de 5 de febrero de 2010. También existe un modelo de la Agencia Española de Protección de Datos sobre modelo de cláusulas contractuales en transferencias internacionales de datos entre encargado y subencargado de tratamiento (prestador de cloud)  y una resolución en el marco de una subcontratación de servicios

Otra posibilidad admitida para autorizar la transferencia internacional de datos es la adopción de reglas corporativas vinculantes entre sociedades de un mismo Grupo multinacional, las conocidas como Binding Corporate Rules. Sobre las mismas el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE ha ido elaborando una serie de documentos y estudios a los cuales nos remitimos.

Publicado originariamente por el autor en Oiprodat

Versión revisada y ampliada

Volver arriba