Los datos por las nubes

¿Han pasado ya o están pasando por la disquisición de si optar por un modelo Cloud Computing y, en su caso, cuál y cómo? Si la respuesta es “no”, aún están a tiempo de hacerlo bien y con alta probabilidad de éxito.

Las implicaciones legales del Cloud Computing son varias y de diversa índole, pero uno de los temas que más suelen preocupar a los CEO y CIO es el de los datos personales. “Ouch!”

¿Seguro “ouch!”? No tanto, verán. Intentaré aquí aportar algo de información práctica prometiendo utilizar un lenguaje lo más sencillo posible y empleando el “abogadés” o el “lopediano” sólo si no queda más remedio.

Si a través del servicio “cloud” que queremos implementar resulta preciso tratar datos personales, 3 son las cuestiones básicas a prever para reducir el riesgo de que, al “subir” los datos a la “nube”, la solvencia y la reputación puedan acabar por los suelos.

  1. ¿A quién arrastramos?

La contratación de un servicio “cloud” puede no sólo afectar a quien tiene la capacidad para la toma de esa decisión. De hecho, es bastante frecuente que se vean también afectadas terceras partes interesadas como, por ejemplo, filiales, franquiciados o “partners”.

Imaginemos una marca española que opera bajo una red de franquicias, y que quiere contratar un CRM en “cloud”, que además le permita obtener directamente los datos de ventas de cada uno de sus franquiciados. Cada uno de tales franquiciados que opere en Europa es responsable de sus propios ficheros de datos personales y, conforme se explica en el siguiente punto, deberá asegurarse de tener un contrato con el proveedor “cloud” para el tratamiento de dichos datos. Si además hay franquiciados fuera de Europa, pueden aumentar las implicaciones derivadas del necesario cumplimiento de la normativa que, en materia de protección de datos, les resulte aplicable en función del país donde operen. Como éstos, pueden intervenir otros factores que, de no preverse a tiempo, den lugar a la aparición de retrasos en la puesta en marcha global del servicio “cloud” así como a incrementos en el coste final.

Se pone así de manifiesto la conveniencia de identificar e incorporar, desde el principio, al proyecto de adopción de un servicio “cloud” a todos los terceros cuyo uso de ese servicio “cloud”, en mayor o menor medida, pueda afectar a los datos personales que tratan.

  1. Encargo del tratamiento, ¿qué es y qué me supone?

Nuestro proveedor “cloud” va a tratar los datos personales de los que nosotros seamos responsables. ¿Por qué? Porque nosotros le pedimos que lo haga. ¿Para qué? Para prestarnos el servicio en el que estamos interesados. ¿Y cómo los trata? Siguiendo las instrucciones que le proporcionemos, ya que es nuestra responsabilidad asegurarnos de que el tratamiento de esos datos se ajusta a la finalidad para la que los recabamos. En eso consiste, básicamente, un encargo del tratamiento.

Tanto si éste se produce en un entorno “cloud” como si no, nosotros, como responsables de los datos personales, estamos obligados por ley a asegurarnos que queda regulado en un contrato que conste “por escrito o en alguna otra forma que permita acreditar su celebración y contenido” y que en el mismo figure:

  • Que nuestro proveedor va a tratar los datos personales sólo con arreglo a nuestras directrices.
  • Que no los utilizará para ningún fin distinto al recogido en el contrato.
  • Que no los comunicará a otros, con la salvedad de las subcontrataciones que se ajusten a lo dispuesto en el Reglamento de la LOPD.
  • Las medidas de seguridad que el encargado está obligado a implementar.

Este punto es importante a la hora de elegir entre un proveedor y otro, puesto que no todos nos garantizarán este requisito. Llama la atención que muchas empresas de Cloud Computing destinen grandes esfuerzos y recursos en implementar la máxima seguridad en sus sistemas de información, así como en trasladar a sus potenciales clientes la mayor de las tranquilidades al respecto y la confianza en que cumplen con todas sus obligaciones en materia de protección de datos, y que en cambio, a día de hoy, aún muchas de ellas no reflejen estas formalidades en sus contratos de adhesión o términos y condiciones de sus webs.

  1. Transferencias internacionales

Si el “cloud” implica que los datos personales de los que somos responsables van a ser transmitidos fuera del territorio del Espacio Económico Europeo (lo que sucederá, por ejemplo, en caso de que nuestro proveedor tenga fuera de dicho territorio los servidores en que se almacenará nuestra información), debemos tener en cuenta dos requisitos:

a).- Es preciso notificar esa transferencia internacional de datos al Registro General de Protección de Datos para que proceda a su inscripción.

b).- Debemos obtener la autorización previa del Director de la Agencia de Protección de Datos (AEPD), salvo que: 1) el lugar a donde los datos personales vayan a “viajar” proporcione un nivel adecuado de protección (determinados países y empresas reconocidos por la AEPD a estos efectos), o 2) aplique alguno de los otros supuestos que la ley excepciona.

Para obtener la autorización referida, deberemos:

  • Tener la inscripción de nuestros ficheros de datos personales debidamente actualizada.
  • Ofrecer garantías suficientes de respeto a los derechos en juego de los afectados. Un modo de conseguir esto es mediante un contrato con nuestro proveedor en el que consten tales garantías, para lo cual podemos servirnos de las cláusulas contractuales tipo previstas por la Comisión Europea.
  • Aportar a la AEPD el escrito de solicitud junto con el contrato recién indicado y poderes suficientes a favor de los firmantes. Toda esta documentación debe facilitarse en español o, en su caso, traducida a dicho idioma por intérprete jurado.

Ahora que conocen estos tres puntos básicos que aquí se han resumido, están en condiciones de prever posibles riesgos derivados de las implicaciones legales que en materia de protección de datos conlleva el Cloud Computing, y, por lo tanto, de poner desde el “minuto cero” los medios para minorarlos y afrontar la implementación del “cloud” con más garantías de éxito.

Intentemos pasar del “Ouch!” al “Oh Yeah!”

 

Sobre el autor:

Ruth Ruth Benito Martín es abogada, titular en bussola, despacho especializado en Derecho TIC,  Mediadora Civil y Mercantil, socia fundadora y miembro de la Junta Directiva de ENATIC, autora de varias publicaciones y coordinadora del Módulo Administración/Legal en el Máster de Emprendimiento Digital (MED). Puedes seguirla en @ruthbenitoabog