en Internet - Sociedad Información, Protección de datos de carácter personal

La protección de datos personales en el cloud computing

Autor: David Ros Aguilera. Abogado Derecho.com

Conforme la Agencia Española de Protección de Datos (en adelante, «AEPD»), la empresa que ofrece el servicio de cloud realiza un tratamiento de datos personales y, en consecuencia, tiene la consideración de Encargado del Tratamiento.

Si el Responsable del Fichero está establecido en España, de conformidad con el artículo 2.1 letra a) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, “LOPD”), la ley aplicable es la española. De tal modo, el Encargado del Tratamiento deberá cumplir con la normativa española de protección de datos en el tratamiento de los datos a los que tenga acceso con motivo de la prestación del servicio cloud.

En el tratamiento de datos mediante el sistema “cloud computing” los Responsables del Fichero pueden encontrarse con distintos escenarios:

1) Prestador de servicio ubicado en el Espacio Económico Europeo:

Si la empresa que presta servicios en nube al responsable del fichero se encuentra ubicada en el Espacio Económico Europeo dicho tratamiento de datos no se considera una transferencia internacional de datos, por lo que únicamente será necesario firmar un contrato de tratamiento de datos entre el responsable y el encargado del tratamiento según lo estipulado en el artículo 12 LOPD, siendo necesario que en dicho contrato se reflejen las medidas de seguridad que debe cumplir el encargado del tratamiento previstas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “el Reglamento de Protección de Datos”).

2) Prestador de servicios ubicados fuera del Espacio Económico Europeo:

Si la empresa que presta servicios en nube al Responsable del Fichero se encuentra ubicada fuera del Espacio Económico Europeo, el tratamiento de los datos que realiza este prestador de servicios implica una transferencia internacional de datos. Para que este tratamiento de datos sea acorde a la normativa de protección de datos, deben diferenciarse 3 situaciones:

A. Estados con nivel equiparable de protección:

El artículo 67 del Reglamento de Protección de Datos establece que no será obligatoria la solicitud de autorización del Director de la AGPD cuando el Estado en el que se encuentre el encargado del tratamiento ofrezca un nivel adecuado de protección. En este sentido, la AGPD ha considerado que tienen un nivel equiparable de protección países como Suiza, Canadá, Argentina, Guernsey, Isla de Man, Islas Feroe, Jersey, Andorra e Israel.

En estos casos, para cumplir con la normativa de protección de datos, únicamente se requiere:

Firmar un contrato de tratamiento de datos entre el Responsable del Fichero y el Encargado del Tratamiento conforme a lo dispuesto en el artículo 12 LOPD en el que se identifiquen las medidas de seguridad que debe aplicar el Encargado del Tratamiento en la prestación de los servicios.
Comunicar e inscribir la transferencia internacional de datos en el Registro General de Protección de Datos.

B. Protocolo “Safe Harbour”:

Si el Encargado del Tratamiento se encuentra ubicado en EEUU se debe revisar si éste se encuentra adherido al Protocolo “Safe Harbour” (“Puerto Seguro”), ya que de ser así, no será necesario solicitar autorización al Director de la AEPD para la realización de la transferencia internacional, siendo suficiente comunicar dicha transferencia mediante su inscripción en el Registro General de Protección de datos.

Respecto a este supuesto, la AEPD ha aceptado como válida la aceptación de las condiciones generales de la contratación del servicio cloud para cumplir con la obligación de regular el tratamiento mediante un contrato específico, siempre que el Responsable del Fichero verifique que el clausulado cumple con los aspectos previstos en el artículo 12 de la LOPD, así como que el encargado del tratamiento esté en disposición de cumplir con las medidas de seguridad aplicables previstas en el Reglamento de Protección de Datos.

Empresas estadounidenses como Google Inc y Apple Inc están adheridas al Protocolo “Safe Harbour”.

Por otro lado, si el Encargado del Tratamiento no se ha adherido al Protocolo “Safe Harbour”, el contrato a firmar entre el Responsable del Fichero y el Encargado debe realizarse conforme la Directiva 95/46/CE y la Decisión de la Comisión 2010/87/UE de las Comunidades Europeas, de 5 de febrero de 2010, relativa a las Cláusulas Contractuales Tipo para la transferencia internacional de datos personales a los encargados del tratamiento establecidos en terceros países. En estos casos, será necesario:

Solicitar autorización al Director de la AEPD para poder proceder con la transferencia internacional de datos.
Solicitar la inscripción de dicha transferencia en el Registro General de Protección de datos.
– Acompañar a la solicitud de autorización y de inscripción indicada, copia del contrato firmado entre el Responsable del Fichero y el Encargado del tratamiento, redactado según las Cláusulas Tipo anteriormente indicadas.

En el caso de falta de contrato entre el Responsable del Fichero y el Encargado del Tratamiento, podría ser autorizada la transferencia internacional de datos si se obtiene el consentimiento de los afectados para la realización de dicha transferencia. La AEPD podrá solicitar al Responsable del Fichero el modelo de texto utilizado para la obtención del consentimiento de los interesados para la transferencia internacional de sus datos.

C. Sin nivel de protección equiparable:

Si la empresa que presta servicios en nube al Responsable del Fichero está ubicada fuera del Espacio Económico Europeo y no proporciona un nivel de protección equiparable por no estar adherida al Protocolo “Safe Harbour” o por no encontrase en un país del que se haya declarado que proporciona un nivel de protección adecuado, será necesario:

Firmar un contrato de tratamiento de datos entre el Responsable del Fichero y el Encargado del Tratamiento conforme la Directiva 95/46/CE y la Decisión de la Comisión 2010/87/UE de las Comunidades Europeas.
Solicitar autorización al Director de la AEPD para poder proceder con la transferencia internacional de datos.
Solicitar la inscripción de dicha transferencia en el Registro General de Protección de datos.
– Acompañar a la solicitud de autorización y de inscripción indicada, copia del contrato firmado entre el Responsable del Fichero y el Encargado del tratamiento.

SUBCONTRATACIÓN:

En la práctica del comercio de Internet puede ocurrir que el Encargado del Tratamiento subcontrate en todo o en parte el servicio que le ha sido contratado. En este caso, el Encargado del Tratamiento previamente deberá solicitar la autorización al Responsable del Fichero con especificación de los servicios a subcontratar y la empresa subencargada. Además, se requerirá un contrato entre el encargado y el subencargado con encadenamiento de las garantías de protección de datos.

SANCIÓN:

La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD, a excepción de los supuestos explicados anteriormente que no resulta obligatoria dicha solicitud de autorización, de conformidad con el artículo 44.4 letra d) LOPD, es una infracción muy grave, cuya sanción prevista en el artículo 45.3 LOPD es una multa de 300.001 a 600.000 euros.