Inicio / Cloud / La problemática jurídica de la LOPD en el cloud computing

La problemática jurídica de la LOPD en el cloud computing

El cloud computing se ha convertido en una de las tecnologías más usadas en todo el mundo. Por este motivo, mientras muchos son firmes defensores de esta tecnología por sus múltiples ventajas, otros no están tan convencidos del grado de seguridad que ofrece dejar sus datos en un entorno virtual que “flota” en Internet.

La inmensa mayoría de los detractores del cloud están en contra de esta tecnología por la preocupación que les genera la seguridad en la nube. Sin embargo, el cloud funciona de la misma manera que el resto de las cosas: conocer la legislación y los sistemas de seguridad que permiten mantener a salvo tus datos en la nube, genera una importante ventaja para evitar posibles conflictos.

Nunca cederíamos nuestros datos personales a un extraño que pasa por la calle, por este mismo motivo no debemos hacerlo en Internet. Lo más lógico es buscar empresas dedicadas a proveer servicios de cloud computing y, a ser posible, que cumplan con todos los certificados de seguridad pertinentes y con la LOPD.

Aunque la observación es bastante obvia, a veces sucede que, por ahorrarnos unos cuantos euros, acabamos contratando peores servicios, lo que provoca que nuestros datos no estén tan seguros como debieran. En caso de que trabajemos  con datos de terceros, debemos extremar aún más las precauciones. Por lo tanto, es imprescindible saber dónde y a quién vamos a dejar nuestros datos y tener la seguridad de que nuestro proveedor va a mantener seguros dichos datos.

¿De quién es la responsabilidad de los datos según la LOPD?

Para comprender los términos que expone la Ley Orgánica de Protección de Datos (LOPD), debemos diferenciar entre el responsable del tratamiento de los datos,  la empresa que  trabaja con datos personales de usuarios o clientes interesados, y el encargado del tratamiento, la empresa que presta servicios cloud para tratar esos datos.

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 d

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 d

“Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento “

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 e

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 e

“Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. “

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 g

Ley Orgánica de Protección de Datos 15/1999 Artículo 3 g

“Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.“[/toggle ]

En definitiva, el responsable de los datos siempre será la empresa que se dedique a la recopilación de dichos datos, por lo que a la hora de contratar una empresa que preste servicios cloud computing para tratar dichos datos, tenemos que tener presente que somos responsables de ellos. Sin embargo, existe una excepción que queda recogida en el apartado 4 del artículo 12 de la LOPD y por la que el encargado del tratamiento – en este caso la empresa de cloud a la que cedemos los datos –  se convertiría en responsable de los mismos.

Artículo 12 de la LOPD apartado 4

Artículo 12 de la LOPD apartado 4

“En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

La importancia de un contrato entre responsable y encargado 

Para garantizar  que – en caso de hacer un mal uso de los datos – el encargado del tratamiento pase a ser responsable de los mismos, tiene que existir un contrato que especifique ciertos términos. En la LOPD se hace mención a este contrato en el artículo 12 sobre el acceso de terceras personas a esos datos, siempre teniendo en cuenta que el acceso no es lo mismo que la comunicación, algo que explicaremos más adelante.

Artículo 12. Acceso a los datos por cuenta de terceros.

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley – y que explicamos a continuación – que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

¿Qué seguridad deben tener los datos?

Ya sabemos que, en caso de un ataque a estos datos, el responsable último siempre será el encargado de recopilar los datos y solo en algunas circunstancias la empresa que se dedique al tratamiento, es decir la empresa que ofrece servicios cloud computing en este caso.  Por este motivo debemos tener muy en cuenta el artículo 9 de la LOPD, que hace especial mención a la seguridad que han de tener los datos.

Ley Orgánica de Protección de Datos 15/1999 Artículo 9. Seguridad de los datos

Ley Orgánica de Protección de Datos 15/1999 Artículo 9. Seguridad de los datos

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 – Datos especialmente protegidos – de esta Ley.

¿Qué se necesita para poder comunicar los datos?

Como mencionábamos antes, comunicación no es lo mismo que acceso y, como hemos visto en el artículo 12, no se considerará comunicación de los datos el acceso de un técnico que trabaje para el encargado del tratamiento de los datos. Sin embargo, la comunicación es otra cosa y evidentemente los datos siempre deben ser comunicados con el consentimiento previo del interesado o propietario de los datos.  Evidentemente, estos datos pueden ser comunicados sin avisar al interesado, solo en caso de que el receptor de estos datos se encuentre entre  las Administraciones, los organismos jurídicos y judiciales o se trate de una urgencia médica. Sin embargo, los datos que se suelen compartir entre una empresa y un proveedor de cloud no tiene nada que ver con ninguno de estos casos, por lo tanto siempre se necesitará el consentimiento previo del interesado.

Además, debemos tener en cuenta que el interesado puede revocar en cualquier momento la cesión de los datos y que la cesión de los datos no será válida si no  informamos debidamente a al propietario de los mismos qué vamos a hacer exactamente con sus datos. Todo esto queda recogido en el artículo 11 de la LOPD.

Ley Orgánica de Protección de Datos 15/1999 Artículo 11. Comunicación de datos.

Ley Orgánica de Protección de Datos 15/1999 Artículo 11. Comunicación de datos.

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

Además del consentimiento previo, el responsable de lo datos – es decir, nosotros como empresa que queremos ceder esos datos para que los trate un proveedor de cloud – debemos informar al interesado sobre la finalidad del fichero, los datos que han sido cedidos y el nombre y dirección del proveedor de cloud, en este caso. Este último punto queda recogido en el artículo 27 de la LOPD.

Artículo 27. Comunicación de la cesión de datos.

Artículo 27. Comunicación de la cesión de datos.

1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

¿Pueden nuestros datos alojarse en servidores fuera de España?

Si nuestro proveedor de cloud tiene los servidores en el extranjero se tomará como un movimiento internacional de datos y, en este caso, la LOPD es muy clara: “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas”, artículo 33. Norma general.

En definitiva, si conocemos bien la legislación vigente y nuestro proveedor cloud cumple con sus certificaciones en seguridad, implementando todas las medidas oportunas, nuestros datos y los de nuestros clientes no tendrán ningún inconveniente por encontrarse en la nube. Es más, nos beneficiaremos de todas las ventajas, sobre todo de movilidad, que aporta esta tecnología.