LOPD Y CLOUD COMPUTING

Noviembre 30, 2011 - 5 minutes read

Cuando se va a contratar un servicio alojado en la nube y en el que se manejan datos de carácter personal, es necesario tener en cuenta una serie de principios básicos gestión de LOPD en entornos CLOUD.

Una de las objeciones que se suelen poner a las aplicaciones Cloud es la seguridad y en concreto el (no) cumplimiento de la LOPD.

La experiencia de los que desplegamos software en la nube, incluso para uso de organismos oficiales, es que cumplir la LOPD no tiene por qué ser más complicado que con aplicaciones tradicionales (On premise).

Vamos a tratar de aclarar algunos aspectos básicos definiendo los roles que participan en este “contrato” en la nube y sus responsabilidades:

  • El cliente
  • El proveedor de la aplicación SAAS
  • El proveedor de la infraestructura Cloud

GPN6 Atención al cliente contratacion LOPD y cloud computing con windows azure

 

El Cliente (quién utiliza el servicio) es el responsable del tratamiento y debe registrar en la AEPD (Agencia Española de Protección de Datos) los ficheros de datos personales que se gestionan en la aplicación. Como responsable del tratamiento debe crear o completar el Documento de Seguridad correspondiente a estos nuevos datos.

Además debe nombrar al proveedor de la aplicación SAAS como encargado del tratamiento y firmar el Acuerdo de Encargado de Tratamiento LOPD. Este acuerdo incluirá las normas de seguridad a que se refiere el artículo 9 de la LOPD.

El Encargado del tratamiento (quién provee las aplicaciones SAAS) debe elaborar su propio Documento de Seguridad.

A su vez, muchos proveedores de aplicaciones SAAS, basan su oferta en plataformas de grandes fabricantes o proveedores de infraestructura Cloud  como Microsoft Windows Azure, Amazon EC2, Google Cloud Services, etc.  Ese es nuestro caso al utilizar Windows Azure la plataforma Cloud de Microsoft.

Si es así, en al Acuerdo de Encargado de Tratamiento LOPD (lo firman el cliente y el proveedor SAAS) debe figurar que el Encargado del tratamiento (el proveedor SAAS) subcontrata los servicios a un proveedor de infraestructura Cloud indicando el nombre de la empresa subcontratada (Microsoft Ireland Operations Limited en nuestro caso).

 

En lo referente a donde se ubican los datos y de cara a las transferencias internacionales, si los datos van a residir en la Unión Europea, Suiza, Canadá, Argentina, etc… (ver lista completa) o en entidades estadounidenses que hayan suscrito el acuerdo de Safe Harbor (puerto seguro) con la Unión Europea, no existe transferencia internacional de datos.

En el caso del proveedor de infraestructura Cloud Microsoft con la plataforma Windows Azure los datos para Europa se almacenan en Dublín (Irlanda) o Ámsterdam (Holanda), es decir, dentro de la Unión Europea. No obstante, Microsoft, como adicionalmente tiene suscrito el acuerdo Safe Harbor a través del Departamento de Comercio de EEUU le habilita como  puerto seguro y por tanto se pueden emplear el resto de servidores de la red mundial sin que las transferencias se consideren como transferencias internacionales de datos.

 

Por último, en el caso de Microsoft, solo firma con  sus partners y clientes un acuerdo de Encargado de Tratamiento a partir de determinados volúmenes de contrataticón en contratos enterprise. En el resto de los casos si aporta documentos como el de Seguridad y privacidad en la nube o la “Declaración de privacidad de la Plataforma Windows Azure” que aseguran el cumplimiento de los principios de seguridad de datos establecidos por la directiva de privacidad europea.

 

A modo de resumen indicar que los aspectos contractuales y de gestión de las responsabilidades son razonablemente sencillos en esencia. Dependiendo de casos especiales la información o los acuerdos pueden necesitar de contratos y clausulas adicionales, por lo que en cualquier caso, se recomienda la supervisión de dichos acuerdos y contratos por firmas de abogados especializadas en LOPD.

 

Nuestros sistemas de Atención al cliente están disponibles dentro del marco de la UE, por lo que los requisitos de LOPD no implican transferencias internacionales.  Si le interesa conocer como funcionan nuestos productos pulse aquí

¿Cómo gestionan actualmente esta problemática?

Tags: