Hasta hace escasas fechas el almacenamiento permanente de la información en servidores de internet únicamente había recibido parabienes por las organizaciones usuarias del denominado cloud computing ya que esta tecnología les permite tratar cantidades ingentes de información ahorrando costes de todo tipo. Pero de un tiempo a esta parte se empiezan a levantar voces que alertan sobre el peligro de tener nuestra información en "la nube". Muchas son las implicaciones legales que supone que nuestros datos se encuentren en servidores que no están en un lugar concreto, que no sabemos dónde se encuentran.

En primer lugar, se debe tener en cuenta que el prestador del servicio de almacenamiento de información en la nube actuará como el encargado del tratamiento de dichos datos por cuenta del responsable del fichero, es decir, de su cliente. Por ello, lo primero que éste debe hacer es celebrar con el prestador de servicios el pertinente acuerdo de tratamiento de datos, por escrito o por cualquier otra forma que permita acreditar su celebración y el contenido del mismo, acuerdo que deberá contemplar las exigencias recogidas en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (en adelante, LOPD). En este sentido, el prestador del servicio:

Para la formalización de la relación contractual, los prestadores de servicios de cloud computing ponen a disposición de sus clientes contratos tipo, contratos de adhesión con condiciones generales de contratación, en los que únicamente se hace necesario para su perfeccionamiento las firmas de las partes contratantes y en los que se incluye una clausula de protección de datos personales, clausula con la que se pretende dar cumplimiento a la exigencia recogida en el artículo 12.2 LOPD. A estas clausulas volveré a hacer referencia más adelante.

Además, es de obligado cumplimiento que el prestador del servicio, en virtud de la obligación impuesta en el artículo 82 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (en adelante RLOPD) elabore "un documento de seguridad en los términos exigidos por el artículo 88 de este Reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento".

Las medidas de seguridad que deberá implementar el prestador de servicios serán las acordes al nivel de protección, básico, medio o alto, que sea necesario aplicar a los datos de carácter personal tratados, y que están recogidas en los artículos 88 a 104 del RLOPD.

Pero lo que plantea una mayor inseguridad jurídica es el desconocimiento del lugar en el que realmente van a estar alojados los datos personales tratados por el encargado de tratamiento, ya que en muchos supuestos el prestador de estos servicios tiene ubicados sus servidores en otros países y en otros casos subcontrata el servicio a otros prestadores, perdiéndose así en ambos casos la pista de la información almacenada.

¿Qué pasa si los datos son alojados por el prestador de servicios en un servidor fuera de España? En ese caso estaríamos hablando de una transferencia internacional de datos a otro estado que, en gran parte de los casos, no cumplirá con las medidas de seguridad que exige la legislación española.

En este sentido, el artículo 33.1 de la LOPD dispone que "no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas".

Como decía anteriormente, los contratos que los prestadores de servicios ponen a disposición de sus clientes incluyen una clausula de protección de datos, la cual, en la gran mayoría de los casos, no hace ninguna referencia al país en el que se alojan los datos ni, por tanto, a transferencias internacionales de datos. Únicamente señalan que cumplen con la legislación vigente y que aplican las medidas de seguridad que les exige la LOPD/RLOPD, de que se deduce que o bien el alojamiento se realiza dentro de territorio español o bien pasan literalmente de la transferencia internacional de datos. Por ello, y en relación con el artículo 12 de la LOPD, se hace imprescindible la firma de un acuerdo de tratamiento de datos, además del contrato principal, en el que se recoja de manera fehaciente el lugar en el que quedarán alojados los datos así como las medidas de seguridad que serán implementadas a dichos datos.

Los problemas de seguridad de la información y cumplimiento de la legalidad que se derivan del artículo 33 de la LOPD se circunscriben a conocer el país en el que se aloja la información y que éste tenga un nivel de protección similar al exigido en España. Para ello, la Comisión Europea ha detallado los países que tienen un nivel de protección adecuado al exigido por la LOPD. Estos países son los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega, Suiza, Argentina, Guernsey, Jersey, Isla de Man, las entidades estadounidenses adheridas a los principios de "Puerto Seguro" o "Safe Harbor", Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América.

Los principales prestadores de servicios de cloud computing disponen de una amplia red de datacenters distribuidos por todo el mundo. Por ejemplo, según Data Center Knowledge, en 2007 Google disponía de 36 datacenters en Estados Unidos, 12 en Europa, 3 en Asia (Hong Kong, Japón y China), uno en Brasil y otro en Rusia. Por su parte Microsoft también dispone de una extensa red de datacenters distribuidos por todo el mundo y ubicados en países tan dispares como Estados Unidos, México, Puerto Rico, Brasil, Chile, Colombia, India, Hong Kong, Japón, Malasia, Singapur, Corea del Sur, Nueva Zelanda o Taiwan.

Como se puede observar son muchos los países en los que se aloja información que no tienen un nivel de protección similar al exigido por la legislación europea y española, con las consecuencias que ello puede ocasionar. "La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos" es considerado por el artículo 44.4 e) de la LOPD como una infracción muy grave lo que lleva aparejado una sanción de 300.000 a 600.000 euros (artículo 45.3 LOPD).

Comentarios

Añadir nuevo Buscar

Escribir comentario
Nombre:
Email:	No notificar:Notificar:
Website:
Título:
Código UBB:	-color-aguanegroazulfucsiagrisverdelimamarrónmarinoolivapúrpurarojoplataturquesablancoamarillo -tamaño-minúsculopequeñomedianograndeenorme
	Por favor introduce el código anti-spam que puedes leer en la imagen.

Powered by !JoomlaComment 4.0alpha3

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."