Cloud computing o computación en la nube

publicado en: Legal | 0

El cloud computing es definido como un “modelo que permite, de forma práctica y desde cualquier ubicación, el acceso bajo demanda a una serie de recursos informáticos configurables compartidos (redes, servidores, sistemas de almacenamiento, aplicaciones y servicios), que pueden ser rápidamente dotados y puestos en funcionamiento con un mínimo esfuerzo de gestión e interacción con el proveedor de servicios”.

Conforme a dicha definición sus principales características son por lo tanto:

– El autoservicio bajo demanda

– El acceso a través de la red

– La posibilidad de agrupación de recursos

– La flexibilidad

– Un servicio sujeto a medida

– Pago por servicio

Pese a que el almacenamiento en la nube está presente desde hace tiempo, en los últimos tiempos se observa que está cobrando una mayor importancia debido a las múltiples ventajas que ofrece. Entre éstas, además de la obvia de poder acceder a nuestra información desde cualquier lugar del mundo, están también su fácil instalación, implementación y, en su caso, desmantelamiento. Respecto a los peligros, los más reseñables son los referidos a la seguridad y a la privacidad. Pese a ello el avance de esta idea y su uso parecen imparables, y, de hecho, muy bien aceptada por el público general.

La prestación de servicios puede llevarse a cabo según varios modelos, teniéndose por buena la siguiente clasificación de tipos de nube:

Nubes Públicas: la infraestructura y los recursos lógicos están bajo el control del proveedor de servicios que la aloja, opera y gestiona, estando disponible para el público en general.

Nubes Privadas: manejadas por una sola organización y creada con recursos propios de la empresa que la instala. El propietario del servidor, de la red y del disco y puede decidir los usuarios autorizados para utilizar la infraestructura.

Nubes Híbridas: combinan los modelos de nubes públicas y privadas.

Nubes Comunitarias: son compartidas por varias organizaciones.

LEGISLACIÓN APLICABLE

La legislación española establece que la ley aplicable a un tratamiento de datos será la española cuando el tratamiento se produzca en el marco de las actividades de un establecimiento del responsable situado en España o cuando el responsable no esté establecido en la Unión Europea pero utilice medios en territorio español. Por ello, la ley aplicable a la prestación de servicios de cloud computing sería, en principio, la española, cuando el cliente (responsable del tratamiento) esté situado en España.

Sin embargo, una de las características esenciales de los servicios de computación en nube es que pueden prestarse y de hecho es habitual, de forma descentralizada, con servidores y otros recursos situados en una pluralidad de países lo que complica su tratamiento.

RESPONSABILIDADES DE LOS DIFERENTES ACTORES.

De acuerdo con la normativa española de protección de datos, el cliente que contrata servicios de cloud computing para el tratamiento de datos de carácter personal (fuera de la excepción de actividades personales o domésticas) asume las obligaciones inherentes al responsable de fichero. Por su parte, el proveedor del servicio, en la medida en que efectúa el tratamiento por cuenta del responsable, desempeñaría el rol de encargado del tratamiento.

No obstante, las posiciones relativas de cliente y prestador de servicios de computación en nube presentan unas características peculiares. Dependiendo del tipo de servicio en nube que se contrate y de los perfiles del cliente y del proveedor variará sensiblemente la posibilidad de que el cliente-responsable pueda impartir al prestador las instrucciones sobre el modo de tratar los datos a que se refiere la legislación.

PRESTACIÓN DE LOS SERVICIOS.

Según la normativa española de protección de datos, las relaciones entre el cliente-responsable y el prestador-encargado deben materializarse en un contrato de prestación de servicios. De acuerdo con la ley, es el responsable el que determina el contenido, especialmente en materia de medidas de seguridad. Sin embargo, las características de la prestación de servicios en un modelo de cloud hacen que varios de los elementos característicos de estos contratos de servicios deban ser tratados de forma diferente a como sucede habitualmente.

La normativa española prevé que el responsable conocerá y autorizará, en uno u otro momento, todas las subcontrataciones y, en todo caso, que conocerá quiénes son las entidades con las que se subcontrata la prestación. En el modelo de computación en nube, puede ser muy frecuente no sólo que el primer prestador ignore qué entidades van a participar en cada momento en el tratamiento sino, también, que esas entidades varíen con gran frecuencia, de forma que no sea posible notificar al responsable todos los cambios en los tiempos que marca la normativa.

Por ello las obligaciones del prestador de estos servicios serán:

– Información fiable sobre su identidad y la ubicación física/territorial de sus activos.

– Debe garantizar la seguridad de los datos personales e información de los ficheros del cliente.

– Debe aceptar las condiciones generales de la contratación de la normativa española.

– Se prohíbe la subcontratación sin autorización expresa del responsable del fichero salvo: que se especifique en el contrato la empresa con la que se va a subcontratar, si fuese sobrevenida al contrato debe someterse a la decisión del responsable del fichero, y en todo caso, el subcontratista debe someterse a las instrucciones del responsable del fichero.

– Finalizada la prestación contractual debe destruir o devolver el fichero de datos personales y la información al cliente (responsable del fichero o del tratamiento).

– Debe garantizar el ejercicio de los derechos A.R.C.O. (derechos de acceso, rectificación, oposición y/o cancelación).

– Debe cumplir las medidas de seguridad establecidas en el reglamento de desarrollo de la LOPD (formación de sus usuarios, copias de seguridad, protocolos de gestión y respuesta ante incidencias, control de accesos y protección frente a accesos indebidos, identificación y autentificación, localización de recursos, etc.)

– Los productos de software que utilice para el tratamiento de datos personales deben incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII del reglamento de desarrollo de la LOPD.

TRANSFERENCIAS INTERNACIONALES

En relación a lo anterior y dada la peculiaridad de este servicio, éste puede implicar la existencia de transferencias internacionales con origen en el territorio español. La normativa española de protección de datos prevé que puedan realizarse transferencias internacionales a países que ofrezcan un nivel adecuado de protección. Por el contrario cuando el país destinatario no ofrezca ese nivel adecuado, las transferencias podrán autorizarse si:

– Concurre alguna de las excepciones legalmente previstas (consentimiento del interesado, transferencia necesaria para la ejecución de un contrato, etc.)  o

– El responsable ofrece garantías adecuadas. El responsable podrá aportar esas garantías mediante la presentación de un contrato (especialmente si el mismo incluye las cláusulas tipo aprobadas por la Comisión Europea) o, en los casos en que las transferencias se produzcan en el seno de grupos multinacionales, de normas corporativas vinculantes (BCR) que hayan sido adoptadas por esos grupos.

A pesar de dichas previsiones este modelo de servicio, por su propia naturaleza, puede implicar, en muchos casos, el desconocimiento del país preciso en que los datos van a ser tratados y de las entidades, subcontratadas, que van a intervenir en ese tratamiento. Más importante aún, la flexibilidad del modelo supone que países y entidades pueden variar constantemente de forma no predecible en el momento en que se produce la contratación del servicio y debe decidirse la utilización del instrumento jurídico más adecuado al tipo de transferencia que se va a producir.

EN CONCLUSIÓN, dada la propia naturaleza de este servicio, a la hora de contratarlo, no sólo tenemos que tener en cuenta las múltiples posibilidades prácticas de aplicación que ofrece a nuestro negocio. Sino que además como responsable de los ficheros, debemos asegurarnos, que el encargado de tratamiento (esto es el prestador de los servicios de cloud computing) cumple las previsiones normativas en materia de protección de datos y ofrece las garantías mínimas establecidas en la legislación española.

Dejar una opinión