Cada vez son más las empresas que se plantean contratar los servicios de Cloud Computing, ya sea para migrar toda su información a la nube o a modo de backup.
La decisión de contratar esta tipología de servicios, normalmente, lleva aparejada cierta desconfianza sobre la seguridad de los datos y sobre las implicaciones legales que trae consigo la contratación de esta innovadora forma de almacenamiento de datos.
Dejando a un lado las cuestiones que deben tenerse en cuenta a la hora de seleccionar el modelo de servicio (Infrastructure as a Service, Platform as a Service o Software as a Service) y el modelo de despliegue (nube privada, pública, comunitaria o híbrida) hay una serie de preguntas que toda empresa debe hacerse y consecuentemente, informarse acerca de ellas, con carácter previo a la contratación, desde el punto de vista de protección de datos.
- ¿En qué país/países se va a almacenar la información?
- ¿El proveedor va a subcontrar los servicios de hosting con un tercero? En ese caso, ¿en qué país/países están localizados los servidores?
- ¿Qué datos se tratan en la empresa (datos de nivel básico, medio y/o datos especialmente protegidos) y cuáles se van a subir a la nube? ¿Garantiza el proveedor las medidas de seguridad que la compañía necesita según la tipología de datos que trata.
- ¿Las Condiciones Generales de Contratación del proveedor de Cloud cumplen con la normativa de protección de datos?
El primer punto sobre el que tiene que informarse toda compañía que quiere contratar los servicios de Cloud es dónde están radicados sus servidores.
Para conocer esto, hay que analizar las Condiciones Generales de Contratación del proveedor o preguntarle por ello, no dando por supuesto que los servidores van a estar en el país en que tiene la sede el prestador de servicios. Aunque el proveedor tenga sus instalaciones en territorio español es probable que sus servidores se encuentren localizados fuera de España o del Espacio Económico Europeo (en adelante, EEE), incluso en varios países.
Si el proveedor de Cloud está en España y sus servidores también, en principio, habrá menos complicaciones e incluso más margen de maniobra pudiendo llegar, en su caso, a negociar la firma del contrato.
En cambio, si los servidores se ubican fuera de España, el cliente tendrá que ver dónde están, en un país del EEE o fuera de él. Si están fuera, habrá una transferencia internacional de datos.
¿Qué hay que hacer si el proveedor tiene sus servidores fuera del EEE?
- Incluir en los ficheros objeto de transferencia que se notifican al Registro General de Protección de Datos la transferencia, identificando el país/países a los que se van a transferir los datos.
- Antes de comenzar a almacenar la información en la nube habrá que solicitar autorización de la Directora de la Agencia Española de Protección de Datos, salvo que los servidores se encuentren en alguno de los siguientes países: Suiza, Canadá, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay o Nueva Zelanda, puesto que han sido declarados por la Comisión Europea como países con un nivel adecuado de protección.
Para obtener autorización, la empresa debe aportar a la Agencia Española de Protección de Datos (en adelante, AEPD), un escrito de solicitud, en español, identificando los ficheros objeto de transferencia, los códigos de inscripción y el contrato firmado con el proveedor, en el que se incluirán las cláusulas contractuales tipo establecidas para las transferencias.
En segundo lugar, toda entidad que quiera contratar Cloud Computing, deberá analizar la participación de subcontratistas en la prestación del servicio. Es decir, ver si el proveedor va a subcontratar servicios de hosting con un tercero y, en su caso, donde estará radicada la información.
En caso de que los servidores estén fuera del EEE y haya una transferencia internacional de datos, en los ficheros que se notifiquen a la AEPD habrá que identificar todos los países en los que se almacenan los datos, independientemente de si están alojados ahí porque fueron objeto de contratación directa por la empresa o si porque el proveedor subcontrató los servicios.
Si el proveedor de Cloud está situado en España y subcontrata los servicios con una entidad que tiene sus servidores en Emiratos Árabes será el proveedor el que tiene que solicitar autorización para la transferencia a la Directora de la AEPD pero la empresa cliente es quien tiene notificar la transferencia a la AEPD en la inscripción de sus ficheros.
En tercer lugar, la compañía debe analizar qué datos trata en su empresa y cuáles de ellos se van a subir a la nube. La empresa debe contratar los servicios de un proveedor que garantice el cumplimiento de unas medidas de seguridad acordes a la tipología de datos que trata. Es decir, si la empresa tiene almacenados datos de salud, debe contratar un proveedor que garantice el cumplimiento de las medidas de seguridad de nivel alto.
Si la entidad, únicamente, almacena datos de nivel básico puede conformarse con un proveedor que cumpla medidas de seguridad de nivel básico. No obstante, es recomendable que se contrate el servicio con un proveedor de Cloud que cumpla las medidas de seguridad de nivel alto de cara al futuro, para tener una cobertura lo suficientemente amplia que no obligue a estar permanentemente pendiente de los datos que se cuelgan en la nube.
En cuarto lugar, debe hacerse un análisis exhaustivo del contrato a suscribir con el proveedor. Con un proveedor sito en España puede plantearse la firma de un contrato negociado aunque, normalmente, con los proveedores de Cloud los contratos son de adhesión. Por tanto, habrá que estudiar las Condiciones Generales de Contratación del servicio y verificar que cumplen la normativa de protección de datos.
Las condiciones, deben configurar la relación contractual de tal forma que la empresa cliente es el Responsable del Tratamiento (quien decide sobre la finalidad, contenido y uso del tratamiento de los datos) y el proveedor de Cloud es un Encargado del Tratamiento (trata los datos del cliente por cuenta de éste, para prestarle el servicio y nunca para sus propios fines).
El almacenamiento de datos en los sistemas del proveedor no es una cesión de datos, si no un acceso a datos por cuenta de un tercero. No se considera comunicación de datos el acceso de un tercero cuando éste es necesario para la prestación de un servicio. El proveedor de Cloud accederá a los datos de su cliente, únicamente, para prestarle el servicio de Cloud y no para otras finalidades.
¿Qué mínimo legal tienen que incluir las Condiciones Generales de Contratación en materia de protección de datos?
- Deben indicar que el proveedor actuará siguiendo instrucciones de sus clientes y que solo utilizará los datos para proporcionarle los servicios de almacenamiento en la nube.
- Debe reflejarse que el proveedor no comunicará los datos a terceros. En caso de que el proveedor subcontrate algún servicio deben especificarse todos y cada uno de los servicios que van a ser objeto de subcontratación y a ser posible identificando la empresa/as. El proveedor de Cloud debe asumir contractualmente que dichas empresas ofrecen las mismas garantías jurídicas que él mismo ofrece sus clientes. Así mismo, el proveedor tiene que garantizar que formalizó con los subcontratistas un contrato de Encargado de Tratamiento y, en caso de que se transfieran datos fuera del EEE a países que no tienen un nivel equiparable de protección, con la subcontratación, certificará que dispone de la autorización correspondiente.
- El contrato debe incluir que, una vez cumplida la relación contractual, el proveedor de Cloud devolverá los datos al cliente, ya sea para efectuar el traslado de la información a sus propios sistemas o a otro proveedor de Cloud.
Además, en el contrato se deben estipular las medidas de seguridad que cumple el proveedor y si el prestador de servicios tiene sus servidores fuera del EEE, en un país que no garantiza un nivel adecuado de protección, deberán firmarse a parte las cláusulas contractuales tipo.
En todo caso, la empresa cliente debe conservar prueba de las Condiciones Generales de Contratación en el momento de la contratación por si estas se modifican en un futuro, descargándolas o imprimiéndolas, para poder aportarlas a la AEPD, si se lo requiriese.
¿En qué infracciones podría incurrir una compañía que contrata los servicios de un proveedor que no cumple la normativa?
En caso de que el contrato no incluya el contenido mínimo necesario que la normativa exige para los contratos entre Responsable-Encargado de Tratamiento, la empresa estaría cometiendo una infracción leve cuya sanción va de 900 a 40.000 €.
Si se contrata a un proveedor cuyos servidores están fuera del EEE, en un país que no garantiza un nivel equiparable de protección y se transfieren los datos sin autorización previa de la Directora de la Agencia Española de Protección de Datos, la compañía estaría ante una infracción muy grave cuya sanción puede ir de 300.000 a 600.000 €.
Por otra parte, cabe mencionar que la AEPD dictó en mayo de 2014, una Resolución en la que declara que los servicios de Microsoft Office 365, Dynamics CRM Online y Microsoft Azure cumplen las exigencias de la normativa de protección de datos, tanto en lo relativo a las cláusulas contractuales, como en las transferencias internacionales de los datos. Por tanto, la empresa que contrate estos servicios no necesitará solicitar autorización para la transferencia, aunque sí deberá notificarla a la AEPD en la inscripción de los ficheros.
Por último, mencionar que, recientemente, se ha aprobado la norma ISO 27018, la primera norma internacional sobre seguridad en la nube basada en la legislación europea de protección de datos. Esta norma protege la privacidad y seguridad de la información almacenada en la nube. Los proveedores de Cloud que cuentan con esta certificación responden a los más altos estándares de calidad, por lo que es un valor añadido elegir un proveedor que cumpla esta norma.
En definitiva, para minimizar riesgos y conseguir que la migración de la información a la nube se produzca con garantías de seguridad, será preciso seleccionar con precaución al proveedor, haciendo un análisis exhaustivo del mismo.