LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

05/10/2024. 21:33:41
05/10/2024. 21:33:41

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Si eres proveedor de Cloud Computing, aplica la LOPD

Belén Viyella

asociada senior de Information Technology de ECIJA

La AEPD acaba de publicar su Guía de “Orientaciones para prestadores de servicios de Cloud Computing”, donde se recogen las recomendaciones esenciales a tener en cuenta para el tratamiento de datos personales en estos servicios.

Una nube con dos flechas

La Guía publicada recientemente por la AEPD viene a detallar, desde la perspectiva de la protección de datos personales, tanto la posición que ocupa el cliente que contrata los servicios de Cloud Computing, como el tipo de garantías que debe ofrecer el prestador de los mismos, de manera que siempre queden asegurados los derechos fundamentales de los ciudadanos.

Esta Guía va dirigida tanto a las corporaciones que ofertan sus servicios a gran escala  mediante contratos de adhesión como a las medianas y pequeñas empresas, con el fin de que todos los prestadores de servicios Cloud apliquen las garantías que la normativa de protección de datos les exige, de manera que cuando los clientes contraten los servicios de Cloud Computing puedan optar por los proveedores que hayan aplicado las políticas preventivas que minimicen los riesgos asociados al tratamiento de datos personales. 

Merece la pena detenerse en algunas de las principales consideraciones que la Guía efectúa:

(i) La primera de ellas es el análisis de los sujetos intervinientes y la ley aplicable.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) distingue entre:

  • Responsable del fichero o tratamiento: Quien decide sobre la finalidad, contenido y uso del tratamiento, es decir, el Cliente, pues es el que toma la decisión de a quién contrata, qué sistemas de información se van a utilizar, modalidad de nube y tipo de servicios.
  • Encargado del tratamiento: El prestador o proveedor de servicios de Cloud Computing, que trata datos personales por cuenta del responsable del tratamiento.

Decidir quién actúa como responsable del fichero y quién como encargado no es una decisión que quede al arbitrio de las partes, puesto la posición jurídica de cada parte deriva directamente de la aplicación de la LOPD. Por consiguiente, la ley aplicable al servicio de Cloud Computing será la del lugar del cliente y, si el cliente está sujeto a la ley española, la relación jurídica con el prestador del servicio estará sometida a la LOPD y su normativa de desarrollo.

(ii) La segunda consideración de la Guía está relacionada con el deber de diligencia del cliente, recogido en el art. 20.2 del Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007), y que se pone de manifiesto en la solicitud de información que el Cliente efectúa al proveedor de Cloud acerca de las garantías que éste ofrece para proteger la información que almacena.

Así, la Guía nos aclara que las respuestas que el proveedor de servicios debe dar a los requerimientos de información del cliente, también deben ser respuestas diligentes, principalmente en lo que se refiere a las garantías establecidas en la LOPD, lo cual permite dotar de transparencia a las actividades del proveedor de Cloud que las instaura, facilitando así las relaciones entre los clientes y los proveedores multinacionales o macroempresas ubicadas en otros continentes.

(iii) En cuanto a la forma contractual de estos servicios, la mayoría suelen estar regidos por lo establecido en el art. 12 de la LOPD para los contratos de prestación de servicios, donde se recogen las garantías exigidas al proveedor de Cloud.

En caso de que existan proveedores o prestadores subcontratados, deberán aportarse garantías adicionales, tales como informar al cliente de quién y dónde va a actuar cada subcontratista y otorgar al cliente la potestad de tomar decisiones por las actuaciones de aquéllos. El caso más común es la subcontratación con empresas ubicadas físicamente en terceros países fuera del Espacio Económico Europeo, caso en que, al considerarse tales supuestos como transferencias internacionales de datos, el prestador de servicios y el subcontratista deben aportar al cliente, una vez más, las garantías exigidas en la LOPD para este tipo de cesiones de datos.  

(iv) Otra de las garantías a tener en cuenta, y que puede considerarse como de las más importantes, es la Portabilidad de los datos personales. Es decir, la posibilidad de que un proveedor de Cloud Computing pueda:

  1. trasladar los datos personales de sus clientes a otro prestador de servicios Cloud en el momento de la finalización de la prestación, o
  2. optar por la devolución de los datos personales al cliente Dada la variedad y tipología de servicios de Cloud Computing, las garantías exigibles a este respecto pueden modularse en cada caso concreto, con el fin de que se adecúen a las exigencias de la LOPD.

Todas las garantías mencionadas también deben proporcionarlas las compañías que actúen como partners de otros proveedores de Cloud y que, para la prestación de sus servicios, deban contratar directamente con los clientes ya sea en calidad de reseller, agregadores de servicios Cloud, Cloud builders, proveedores de aplicaciones, etc.

Por otro lado, las garantías contractuales exigidas en la LOPD, pueden verse ampliadas si el prestador de servicios tiene como cliente a la Administración Pública española, pues la diversa normativa estatal que regula la contratación con proveedores y la subcontratación en países terceros, exige la salvaguarda de la información de los ciudadanos de una manera más exigente para el prestador. 

Por último, aunque no menos importante, y como ya hemos mencionado al principio de este post, en los contratos de Cloud Computing el cliente es siempre el Responsable del fichero y, como tal, está obligado a facilitar el ejercicio de los derechos A.R.C.O. a los titulares de los datos. Para ello, en ocasiones el cliente puede requerir de la colaboración del proveedor de los servicios Cloud, solicitándole información que debe ser entregada al cliente, en los breves plazos legalmente establecidos. En cualquier caso, es un elemento más a tener en cuenta por los prestadores de servicios Cloud, a la hora de ofertar sus servicios de almacenamiento de información en la nube.    

De todo lo dicho, y de las consideraciones contenidas en la Guía de la AEPD, podemos concluir que, si bien los prestadores de servicios de Cloud Computing tienen ante sí la posibilidad de ofertar unos servicios rápidos, novedosos y altamente competitivos, no pueden pasar por alto que, si sus clientes están sometidos a la normativa española de protección de datos, inexorablemente, deberán revisar sus contratos para comprobar el adecuado cumplimiento de las distintas exigencias normativas. Fundamentalmente los requisitos son los que aquí hemos comentado con el fin de su adaptación, sin olvidar que, en caso de no aplicar las garantías exigidas, deberán informar a sus clientes, ya que  en caso contrario, la responsabilidad de cualquier infracción no sólo será exigible al cliente sino también al propio prestador de servicios de Cloud Computing. 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.