Uno de los temas que en la actualidad está en boca de todos no es otro que el relativo al “Cloud Computing”. ¿En qué consiste dicho término? Pues bien, para todos aquellos que no lo sepan aun, se puede definir como: un paradigma de programación que permite ofrecer servicios informáticos a través de Internet. El término Cloud o Nube, es obviamente una alusión metafórica a Internet. (Rafa García del Poyo).
De una manera más sencilla, son una serie de servicios localizados en la nube (internet), permitiendo el acceso a ellos por parte de los usuarios finales sin necesidad de contar con una gran infraestructura y, sobretodo, sin que se requiera por parte del usuario un conocimiento o experiencia en la utilización de dichos recursos.
En relación a los servicios de cloud, podemos establecer que establecen gran cantidad de ventajas, también de críticas y, a su vez, instauran una serie de problemáticas jurídicas. Hoy nos vamos a centrar en la pregunta ¿qué sucede con los datos personales recabados en dichos servicios? ¿dónde se hospedan? ¿qué empresa los trata? Etc..
(Imagen utilizada bajo Licencia Creative Commons)
El alto margen de incertidumbre y la poca claridad por parte de los proveedores ha generado diversas inquietudes sobre los riesgos que este modelo en materia de protección de datos personales puede plantear.
En primer lugar, resulta determinante saber dónde se localizarán dichos datos de carácter personal, ya que en base a ello se implementarán las medidas jurídicas para garantizar el correcto funcionamiento de las leyes. Para una empresa que utilice servicios de Cloud Computing es de vital importancia tener la certeza de que su prestador de servicios mantienes aquellos datos suministrados por ésta bajo control.
Debemos diferenciar en este momento varios términos. El responsable del tratamiento (empresa que recaba los datos de carácter personal a los interesados) y encargado de tratamiento (prestador de servicios de cloud que va a tratar dichos datos).
La Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre, en adelante LOPD, establece en su artículo 3 d) que :
“ Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento “
Por tanto, el responsable del tratamiento es aquella empresa que decide sobre la finalidad específica de los datos recabados al interesado. A su vez, dicho datos deben respetar los principios de la protección de datos recogidos en los artículos 4 a 12 de la LOPD (TÍTULO II).
El encargado del tratamiento viene regulado en el art. 3 g):
“Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento ”
Como bien se ha mencionado con anterioridad, el encargado del tratamiento es la empresa de cloud que va a tratar los datos protegidos. Por tanto y para que no se produzca una cesión o comunicación de datos -contenido en el artículo 11 de la LOPD- entre el responsable del tratamiento y el encargado del tratamiento se tienen que dar una serie de circunstancias reguladas en el artículo 12 de la LOPD:
Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Por tanto, para que no se produzca un incumplimiento de la normativa aplicable o una cesión inconsentida de datos de carácter persona, se debe de establecer un contrato entre el responsable y el encargado del tratamiento (*con sus salvedades Art.11 LOPD).
Otra de las cuestiones importantes en los servicios de cloud es donde se encuentran situados los servidores. En caso de que éstos se encuentren físicamente localizados en el extranejero, nos encontraríamos ante una transferencia internacional de datos que se llevaría a cabo sin la pertinente autorización.
El Artículo 33 de la LOPD establece que:
“ No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas “.
Si los datos recabados son destinados a ser tratados en terceros países donde no exista un nivel de protección equiparable al de España, será necesario una autorización por parte del Directo de la Agencia Española de Protección de Datos (Plazo de 1 mes) o un consentimiento inequívoco por parte del afectado (Art. 34 LOPD).
Finalmente y como bien dice Rafa García del Poyo, “resulta muy recomendable que las partes de un contrato de prestación de servicios en la nube anticipen en su clausulado las fórmulas de resolución de la problemática relacionada con la recuperación de la información y de los datos personales que son responsabilidad del cliente una vez extinguida la relación contractual “.
TIC & Legal 
Muy interesante la entrada Jesús. Es un tema complicado porque la normativa de Protección de datos intenta centralizar y tener localizados los datos para su posterior tratamiento, pero el cloud computing aboga precisamente por lo contrario, la descentralización, y son posturas de difícil convergencia. A raíz de la decisión de Amazon de venta de música en la nube, creo que va a dar mucho de hablar a efectos de Propiedad Intelectual, ¿no crees?
Buenos días Jesús,
Has escrito un buen artículo y lo has basado en una buena argumentación jurídica, ya que el principal problema entorno a los alojamientos en «la nube» es establecer en que punto geográfico o ubicación física concreta se encuentran, para establecer (como bien dices) si hay o no transferencias internacionales de datos y si están se realizan a paises que no tienen un nivel de seguridad adecuado en cuanto a protección de datos se refiere.
Enhorabuena por tu blog.
Hola Audea,
Muchísimas gracias. Intento realizar entradas que sea de interés para la gente y a su vez argumentarlas.
Un saludo
Pingback: CLOUD COMPUTING: problemática jurídica con la LOPD 15/1999 | tics para los de letras | Scoop.it·
Pingback: tvonline·
Heya i am for the first time here. I found this board and I find
It really useful & it helped me out much. I hope to give
something back and aid others like you aided me.