Qué debo saber antes de contratar un servicio cloud

Qué debo saber antes de contratar un servicio cloud

 

CLOUD COMPUTING

1.- ¿Cuál es mi papel respecto a la LOPD como cliente de un servicio de ‘cloud’?

Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad.

El que ofrece la contratación de cloud computing es un prestador de servicios que en la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.

2.- ¿Cuál es la legislación aplicable?

El modelo de cloud computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciem- bre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).

 

La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren. Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos.

Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

3.- ¿Qué medidas de seguridad son exigibles?

El acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Como cliente debe tener la opción de comprobar las medidas de seguridad.

4.- ¿Qué compromisos de confidencialidad de los datos personales debo exigir?

El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados y asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

5.- ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable?

La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización.

6.- ¿Cómo puedo asegurarme de que el proveedor de ‘cloud’ no conserva los datos personales si se extingue el contrato?

Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero).

7.- ¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO)?

El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecua- das para facilitar la atención de dichos derechos.

Más información en el informa de l aAGPD que podéis descargar aquí

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.