Todas

Noticias ICM

Interesante saber al contratar servicios en Cloud

Algunos consejos para contratar servicios en cloud

Las ventajas que pudiera comportar el cloud computing o computación en la nube, exigen buscar soluciones que compatibilicen este servicio con el pleno respeto al derecho de la protección de datos y que ofrezcan garantías jurídicas de cumplimiento de la LOPD y de su Reglamento de desarrollo.

Por ello, a la hora de contratar los servicios del cloud, te conviene saber:

Que al contratar los servicios del cloud sigues siendo el responsable del fichero mientras que el prestador del servicio tendrá la consideración de encargado de tratamiento.

  • La posición jurídica de quien contrata servicios de Cloud Computing es la de responsable del tratamiento pues es quien decide sobre la finalidad, el contenido y el uso del tratamiento, así como también quien opta por la computación en la nube y sobre su modalidad.
  • Por su parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento pues, en definitiva, trata datos personales por cuenta del responsable.

 

Que es necesario firmar con el prestador de servicios de cloud un contrato de acceso a los datos.

 

  • El contrato de prestación de servicios entre el cliente y su proveedor de servicios Cloud ha de incorporar las previsiones necesarias para garantizar el adecuado cumplimiento de la normativa relativa a la protección de datos. En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos.
  • Es importante destacar que el responsable del tratamiento, es decir el cliente de los servicios del cloud, es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Una negligente elección del prestador del servicio de cloud, podría ser imputable al cliente de este servicio.
  • Del mismo modo hay que destacar que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá la consecuencia de que pasará  a asumir la condición de responsable del fichero

 

Atención: La falta de contrato está tipificada como infracción leve y puede acarrear una multa desde hasta 40.000 Euros.

 

Que si el cliente de los servicios de cloud está ubicado en territorio español, será de aplicación la legislación española sobre protección de datos y que no es posible obviar el cumplimiento de esta normativa aunque el prestador del servicio esté ubicado fuera de la Unión Europea.

 

  • Por su propia naturaleza el Cloud Computing hace posible que los datos almacenados “en la nube” se encuentren físicamente en un servidor ubicado en cualquier punto del planeta. Esta circunstancia es muy relevante, al menos en materia de protección de datos de carácter personal.
  • La ley aplicable al tratamiento de datos personales no es disponible para las partes del contrato, por lo que no podrán pactar la aplicación de una normativa distinta, ni excluir la competencia de la AEPD o de las Agencias o Autoridades autonómicas competentes.
  • Por lo tanto, si el responsable del fichero, es decir, el cliente que contrató los Servicios del cloud, está ubicado en territorio español, las garantías exigibles son las establecidas en la LOPD y su reglamento de desarrollo, aunque los datos se almacenen físicamente en la otra punta del planeta.
  • Por ello, al contratar los Servicios del cloud, deberemos asegurarnos de que el prestador del Servicio cumple con la normativa española de protección de datos Personales.

Atención: Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal, sin las debidas condiciones de Seguridad que marca la normativa comunitaria, está considerado como una infracción grave, sancionable con una multa de hasta 300.000 Euros.

 

Que si los datos almacenados en la nube están ubicados fuera del Espacio Económico Europea, puede ser necesaria autorización de la Agencia española de protección de datos.

 

  • La muy probable circunstancia de que los datos no se almacenen en territorio español obliga a contemplar qué ocurre si los datos están almacenados en un tercer país.
  • Si la transmisión de los datos derivada de la prestación de los servicios de Cloud se realiza en el territorio del Espacio Económico Europeo, no tienen la consideración de transferencia internacional de datos, por lo que no resulta necesaria la autorización de la AEPD.
  • Cuando los datos se destinen a cualquiera de los países con un nivel de protección que se considera adecuado por Decisión de la Comisión Europea, la normativa de protección de datos del país en cuestión es considerada equiparable a la europea, por lo que tampoco resulta necesaria la autorización de la AEPD. Aunque en este caso, sí que será necesario comunicar la transferencia a la AEPD
  • Cuando se contraten los servicios de un proveedor de Cloud Computing que transfiera la información a un país que no ofrezca un nivel adecuado de protección habrá de obtenerse la autorización previa del Director de la AEPD.

 

Atención: La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la Agencia Española de Protección de Datos, está tipificado como una infracción muy grave y puede acarrear una multa de hasta 600.000 €

icm, servicio, web
Comenta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Confían en nosotros

BBVA
DDB
Volkswagen
Orbital
Borges
Portimex
Shackleton
Shiseido