Hoy en día es un hecho innegable que los Servicios en “Cloud” o en la “Nube” están presentes en las previsiones de la mayoría de empresas y de entidades públicas y privadas como una alternativa muy sería a tener en cuenta.
Los servicios en “Cloud” se caracterizan por una serie de cualidades intrínsecas: son eficientes, son cómodos, son seguros, y son económicos, por lo que a efectos de flexibilidad, ubicuidad, seguridad y ahorro de costes son una propuesta de elección por la que se están decantando muchas organizaciones.
No obstante, también trae aparejada una serie de riesgos en cuanto al cumplimiento de la normativa española y de la UE relativa a la protección de datos personales. Estos riesgos están concentrados, entre otros, en dos aspectos principales.
El primero de ellos viene determinado por la consideración por parte del prestador del servicio como “Encargado de Tratamiento” o “Data Processor” tal como se especifica en la legislación española (L.O. 15/1999 – LOPD) y de la UE (Directiva 95/46/CE). En este aspecto parece que existe un consenso entre los principales profesionales de la privacidad agrupados en la APEP-Asociación Profesional Española de Privacidad, y es que el prestador del servicio “Cloud” es términos generales un “Encargado de Tratamiento-Data Processor”.
El segundo viene determinado por la propia concepción de los servicios “Cloud”, que tienen como característica su internacionalización en cuanto a donde se almacenan y tratan los datos de los clientes. La globalización de la oferta obliga a tener múltiples Centros de Datos repartidos por todo el mundo, con balanceo de cargas entre ellos para ofrecer los mejores tiempos de respuesta, y sujetos a incidencias operativas como son caídas de Data Center por HW o SW, o de líneas de interconexión y acceso a Internet, o por situaciones críticas relativas a: fenómenos atmosféricos, fuego, inundaciones o terrorismo, además de intrusiones no autorizadas por parte de hackers.
Estas contingencias están bien resueltas por los prestadores de servicios “Cloud” con centros de replicación y conmutación “cuasi” instantáneos que lo hacen transparente al usuario el cual sigue recibiendo el servicio sin interrupciones ni retardos significativos.
Precisamente esta característica de servicio ininterrumpido introduce un Principio de Incertidumbre sobre la ubicación y tratamiento de los datos, ya que se puede conocer donde están los datos en el momento justo que se comprueba, pero no se puede predecir donde estarán dentro de 10 minutos.
Estas cuestiones que son inherentes a la seguridad, la eficiencia, y la continuidad de los servicios “Cloud”, introducen el riesgo de estar efectuando una “Transferencia Internacional de Datos” a países no UE o sin la calificación de “protección equivalente”, sin la autorización pertinente de la Autoridad Nacional de Protección de Datos (en España es la Agencia Española de Protección de Datos), o bien sin aplicación de los mecanismos previstos en la normativa europea, bien por medio de la “Cláusulas Contractuales Tipo” o por las BCR-NCV (BindingCorporate Rules-Normas Corporativas Vinculantes).
¿Como proporcionar seguridad de cumplimiento de la normativa UE a los clientes que quieran contratar servicios “Cloud”?
Las entidades que están considerando contratar servicios “Cloud” se enfrentan normalmente a Contratos de Adhesión en los que no es posible modificar el clausulado, es corriente que se acojan a jurisdicciones de países no UE, y probablemente (quizás no en todos los casos que habría que estudiar uno a uno) no tienen en cuenta la normativa europea a los efectos de la protección de la privacidad y de la obligación de sus clientes UE de respetarla.
Existiendo muchos ofertantes de Servicios “Cloud”, ¿Qué debería hacer un posible cliente para estar seguro de que su prestador de servicios cumplirá la normativa UE?. Bien, pues el interesado se enfrenta a un problema de no fácil solución, que en principio es buscar al proveedor que tenga esta situación resuelta, asegurarse de que es así, y encomendarse al riesgo de haberse equivocado y de verse envuelto en un procedimiento sancionador.
CLOUD PRIVACY SEAL – PROPUESTA DE LEGITEC A LA COMISIÓN EUROPEA Y A LOS MIEMBROS DEL WORKING PARTY ART. 29:
La Comisión Europea y el Gobierno USA han establecido un acuerdo de SAFE HARBOR, el cual facilita el intercambio de información sin necesidad de los mecanismos de autorización previstos en la normativa UE. Este acuerdo establece una serie de medidas de protección de los datos personales tratados por las empresas UE-USA que accedan a datos de residentes UE en virtud de datos corporativos de sus subsidiarias, o bien por contratación de servicios en USA a entidades de la UE. Las empresas USA se adhieren a este acuerdo y establecen mecanismos internos de auditoria para su cumplimiento efectivo.
Las características principales de este acuerdo de Safe Harbor en relación a lo que se trata de proponer en este articulo-propuesta, son:
- Es un acuerdo entre Gobiernos: UE-USA
- Esta referido un ámbito concreto geográfico donde se efectúan las transferencias de datos y los tratamientos : UE y USA
- No limita los tipos de datos tratados o modalidades de tratamiento
Ahora vamos tomar la filosofía del acuerdo SAFE Harbor, y transformarla en otra forma de aproximarse a UNA SOLUCIÓN PRÁCTICA Y CÓMODA los servicios “Cloud”:
PROPUESTA:
Transformar la filosofía SAFE HARBOR de ámbito geográfico concreto de estados, por ámbito geográfico mundial-global.
Transformar la filosofía SAFE HARBOR de acuerdo entre gobiernos, a un acuerdo UE-Empresas “Cloud”, por tanto:
- La UE establece el “framework” y los requerimientos por el que las empresas de servicios “Cloud” se obligan al cumplimiento de la normativa UE de protección de datos personales.
- Se establecen los mecanismos de certificación-autorregulación por parte de los prestadores de servicios “Cloud”.
- Se establece un “Seal” del tipo “Cloud Privacy Safety UE Partner” o de título similar
- Se habilita un sitio web donde se pueda consultar la lista de empresas adheridas al programa, los servicios que presta, la vigencia del “Seal”, así como la lista de empresas a las que se les ha retirado el “Seal”.
- Se revisa-audita anualmente, bien externa o internamente, el “compliance” con los requerimientos del Sello.
- A este “Seal” se podría adherir cualquier empresa del mundo que oferte servicios “Cloud” siempre que cumpla los requerimientos.
De esta manera, las empresas UE podrían contratar a estas empresas servicios “Cloud” con una alta seguridad de que son prestadores de confianza, asimismo demostrarían diligencia en el cumplimiento de la normativa UE de protección de datos, y en especial la diligencia debida en cuanto a la elección de prestadores de servicios y de cumplimiento de las Transferencias Internacionales de Datos.
Vicente Moncholí Cebrián
Director MCA Consultores – Legitec
@VMoncholi
www.facebook.com/legitec