PROTECCION DE DATOS PERSONALES versus “CLOUD COMPUTING”

El cloud computing es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública.

En definitiva, permite acceder a una serie de servicios, que pueden ir desde el correo electrónico hasta el almacenamiento de documentos, pasando por aplicaciones de gestión, de contabilidad, de bases, o de compartición de documentación e información con clientes o con otros; y todo ello sin necesidad de disponer de servidores o de software en el propio despacho, con sus necesidades asociadas de mantenimiento y administración, y con las correspondientes inversiones en equipamiento y software y gastos en operación y mantenimiento de los mismos. Los datos y las aplicaciones se encuentran en algún lugar de Internet que se representa frecuentemente como una nube, de ahí el término Cloud Computing.

Las ventajas técnicas y económicas son innegables. Sin embargo, surgen dudas relativas a la seguridad e integridad de la información así como reservas a perder el control físico de los datos de carácter personal que sean objeto de tratamiento (los datos pasan a situarse en cualquier punto del planeta, en un servidor cuya ubicación física desconoce el responsable).

Es esta última circunstancia la que es muy relevante, al menos en materia de protección de datos de carácter personal. Así, es necesario tener en cuenta:
1.- El responsable del tratamiento cuando contrate servicios de Cloud Computing deberá velar porque el prestador de servicios cumpla la normativa española de protección de datos personales (art. 20.2 del RLOPD)
2.- En todos los casos, las relaciones entre el responsable del fichero, y el proveedor de los servicios de Cloud Computing, como encargado del tratamiento, deben estar reguladas por contrato con los requisitos establecidos en el artículo 12 LOPD
3.- A efectos de cumplir con la normativa de Protección de Datos es relevante conocer el lugar en el que se almacenan los datos. A estos efectos, hay que distinguir:

A) Si se realiza en el territorio del Espacio Económico Europeo (Unión Europea e Islandia, Liechtenstein y Noruega) o en cualquiera de los países con un nivel de protección que se considera adecuado por Decisión de la Comisión Europea: No tienen la consideración de transferencia internacional de datos (art 5.1.s) RLOPD)
B) Cuando se contraten los servicios de un proveedor de Cloud Computing que transfiera la información a un país que no ofrezca un nivel adecuado de protección (OJO!!! Y aquí está la Novedad acaecida el pasado 6 de octubre de 2015, tras la Sentencia del Tribunal de Justicia de la Unió Europea –TJUE-, en este apartado se incluye a EEUU): Deberá de obtenerse la autorización previa del Director de la AEPD, según el procedimiento previsto en los artículos 137 a 140 del RLOPD

El pasado 6 de octubre de 2015 el TJUE declaró nulo el acuerdo conocido como “Safe Harbor” (Puerto Seguro), en virtud del cual se podían realizar transferencias internacionales de datos desde la Unión Europea a los Estados Unidos. EEUU está considerado por las autoridades europeas como un país que no ofrece un nivel de protección adecuado para los datos de carácter personal. Esto provocó que no se permitan las transferencias a dicho territorio sobre la base del “Safe Harbor” y, por tanto, que todas las sociedades que realizaban transferencias internacionales a los Estados Unidos bajo “Safe Harbor” debían regularizar su situación mediante la obtención del consentimiento inequívoco de todos y cada uno de los titulares de los datos tratados por la compañía u obteniendo la autorización expresa de la Dirección de la AEPD.

Sin embargo, el martes 2 de febrero de 2016, la Comisión Europea (CE) publicó una nota de prensa en la que comunicaba que, finalmente, las autoridades de la Unión Europea, representadas por la Comisión Europea, y el Departamento de Estado de los Estados Unidos, habían alcanzado un acuerdo marco para la transferencia transatlántica de datos: el denominado “EU-US Privacy Shield” (Escudo de la privacidad). La CE ha anunciado que en las próximas semanas preparará un borrador de “Decisión de adecuación”. Ese texto será objeto de dictamen de las Autoridades europeas de protección de datos, y se someterá a un comité compuesto por representantes de los Estados miembros.

Fuente: AEPD (Texto e imágenes) y Jornada Formativa Centro SAT El Franco

Deja un comentario