Las nuevas obligaciones de los proveedores de Cloud Computing

Las nuevas obligaciones de los proveedores de Cloud Computing

El RGPD (GDPR en sus siglas en inglés) ha alterado en panorama europeo (si no mundial) de la protección de datos, y la gran mayoría de actores se están preparando para una norma mucho más exigente  que la vigente durante años, que va a afectar a servicios cuyo objeto de negocio es el tratamiento de los datos personales.

 

Uno de estos servicios es el cloud computing, consistente en el almacenamiento en servidores ajenos repartidos en diferentes localizaciones y a cuya información se puede acceder desde cualquier dispositivo con conexión a internet, y mundialmente famosos por servicios como Google Drive o OneDrive. El contrato con este servicio conlleva externalizar el tratamiento de datos (encargar en el lenguaje del Reglamento), y esto conlleva una serie de responsabilidades para ambas partes.

 

En primer lugar, es necesario formalizar la relación mediante un contrato por el cual se determinen los roles de cada parte. Este contrato estipulará el régimen de la protección de datos y, en especial, 1) el objeto y duración del tratamiento, 2)  la finalidad, 3) las categorías de personas y datos personales tratados, y 4) las instrucciones respecto al fin del tratamiento.

 

Una característica clave de los proveedores de servicios cloud (véase Google, Microsoft o Amazon) es que muchas veces es necesario integrar en el propio servicio elementos de otras empresas, y las cuales tienen responsabilidad en el tratamiento de datos. Para ello, es necesario que en ese contrato se autorice la contratación de servicios con esas terceras empresas para poder desplegar un servicio cloud correctamente.

 

Como se ha dicho anteriormente, los servidores pueden estar distribuidos en varios países, ya no solo dentro de la Unión Europea, también de otros países ajenos a esta. Esto significa que si alguien “sube” datos personales, pueden estar almacenados fuera de la UE. El RGPD impone férreas obligaciones para poder transferir datos fuera de la UE, como la exigencia de garantizar la seguridad de los datos en ese otro país, o que la UE haya declarado a ese país como “seguro”.

 

La seguridad se presenta clave en estos servicios, puesto que al encargar el tratamiento de los datos a otra empresa, se puede llegar a perder el control de estos. Es por ello que la empresa responsable del tratamiento debe asegurar que el proveedor de servicios cloud aplica las suficientes medidas de seguridad. Esto se puede conseguir mediante acuerdos contractuales o certificaciones en materia de seguridad.

 

Los proveedores de servicios cloud se enfrentan a una nueva era en la protección de datos, los cuales tienen la oportunidad de dar valor añadido a su servicio asegurando una adecuada seguridad en él; está en su mano dar prioridad a la privacidad en este nuevo contexto.

 

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información