¿Cuáles son los aspectos a tener en cuenta a la hora de contratar a un proveedor de Cloud Computing?
Como es bien sabido, el Cloud Computing, conocido comúnmente como “la nube”, es un modelo de computación que, dadas sus características, ha provocado cambios notorios, al permitir disponer de la información y los datos desde cualquier lugar y en cualquier momento, lo que a su vez ha originado una revolución tecnológica para las empresas, Administraciones Públicas y, en general, para la propia sociedad, hacia una transformación digital sin precedentes.
El Cloud Computing se considera una de las revoluciones más importantes en el mundo de las tecnologías de la información y la comunicación, dado que permite a las empresas (en especial, PYMES y autónomos) adoptar las últimas tecnologías a un coste reducido, alcanzando así una mayor productividad a un menor coste.
En ese sentido, la seguridad y la propiedad de los datos es uno de los aspectos clave que se deben tener en cuenta a la hora de escoger un servicio de Cloud Computing, por lo que en el presente artículo analizaremos la incidencia de la protección de datos a la hora de escoger un proveedor de Cloud Computing que reúna las mayores garantías posibles.
A este respecto, en un mundo donde los datos circulan de manera global, tenemos que prestar atención a la protección de la privacidad, pues todas las empresas o administraciones públicas, en mayor o menor medida, tratan con datos personales, ya sean de clientes, empleados, proveedores, etc. Por tanto, dicho tratamiento de datos e información deberá ser protegido conforme a la normativa en materia de protección de datos.
FIGURAS EN EL CLOUD COMPUTING
Dentro de las figuras destacables en el Cloud Computing, podemos diferenciar a los usuarios y clientes, que son aquellas empresas y/o entidades, que para implementar sus procesos de tratamiento de información deciden compartir los mismos recursos a través de la red, los cuales serán proporcionados por una entidad externa llamada proveedor de Cloud Computing.
A su vez, el RGPD distingue entre dos sujetos distintos: el responsable del tratamiento y el encargado del tratamiento.
Por ende, teniendo en cuenta que el responsable del tratamiento es aquella persona, profesional o entidad que decide sobre la finalidad, contenido y uso del tratamiento, el cliente que contrata servicios de Cloud Computing, será considerado responsable del tratamiento sobre los datos que pretende llevar a la nube, pues será quién tome las decisiones sobre la contratación de dichos servicios, la modalidad de nube, los servicios contratados y/o la elección del proveedor de servicios de Cloud Computing en función de las condiciones ofrecidas, entre otras.
Por su parte, el proveedor de servicios en la nube que implique el acceso a datos personales será un prestador de servicios que tratará dichos datos por cuenta de su cliente, es decir, un encargado del tratamiento en la terminología en materia de protección de datos.
Esta delimitación de la posición jurídica que ocupan las partes en el desarrollo de servicios en la nube es de vital importancia dado que tiene como consecuencia principal la determinación de la ley aplicable, que será la del cliente, al ejercer este como responsable del tratamiento.
Por consiguiente, la normativa en materia de protección de datos prevé que, al margen del contrato de prestación de servicios que se firme con el proveedor de la nube, se debe suscribir entre las partes un Acuerdo de Encargo de Tratamiento (AET) que, de manera anexa al contrato principal (o incluido en el contrato principal en forma de clausulado) regule el tratamiento de datos que se va a llevar a cabo y contenga las garantías establecidas por la legislación.
ASPECTOS A TENER EN CUENTA A LA HORA DE CONTRATAR A UN PROVEEDOR CLOUD
A la hora de contratar a un proveedor de servicios de Cloud Computing, resulta esencial que el cliente escoja aquel que ofrezca las garantías adecuadas en materia de protección de datos y seguridad, dado que, como responsable del tratamiento, tiene un deber de diligencia en la elección del encargado del tratamiento y, de lo contrario, podría estar incurriendo en una infracción en materia de protección de datos.
Por tal razón, para poder verificar previamente las condiciones en la que se presta el servicio, resulta recomendable llevar a cabo una lista de control que valore y sopese aspectos, no sólo económicos, si no en materia de protección de datos, tales como: la información proporcionada, la ubicación de los datos tratados, la posibilidad o no de subcontratación, así como las obligaciones legales del prestador del servicio, entre otros aspectos destacables.
Aunque dependerá del servicio finalmente contratado, en general, en términos de seguridad, conviene tener en cuenta los siguientes puntos:
- Que el proveedor de Cloud Computing implemente las medidas técnicas y organizativas adecuadas para que la información almacenada en la nube no se pierda, dañe o corrompa.
- Que la ubicación del centro de datos cumpla con los requisitos de protección y seguridad adecuados respecto a los datos personales que allí se alojen, máxime si los centros de datos se encuentran fuera del territorio europeo.
- Las medidas de seguridad adoptadas por el proveedor de Cloud Computing para conservar nuestros datos (actualizaciones, copias de seguridad, auditorías, etc.).
- Dado que la mayoría de las infraestructuras son compartidas por múltiples clientes del proveedor de la nube, será preciso verificar que los datos y procesos almacenados en las instalaciones del proveedor de la nube disponen de una política de control de acceso efectiva que impida la utilización y acceso a nuestros datos por terceras personas y que garantice que los datos se encuentran separados de los de otros clientes de la nube.
- Que el proveedor de servicios de Cloud Computing no acceda o utilice los datos para fines distintos a los establecidos denle el contrato formalizado.
- Que se garantice la comunicación segura de datos entre el proveedor de la nube y el cliente.
- Que la calidad del servicio y su disponibilidad sea la necesaria para la actividad que se pretenda llevar a cabo. Para ello, resulta recomendable revisar las condiciones del servicio de atención al cliente ofrecidas, en atención a las necesidades del cliente.
- Que existe la posibilidad de flexibilizar o escalar los servicios si aumentan o disminuyen las necesidades del cliente. Asimismo, será muy importante conocer las opciones de portabilidad (es decir, la posibilidad de transferir nuestros datos y aplicaciones desde un proveedor de Cloud a otro) cuando termine el servicio o ante una modificación de las condiciones.
En consecuencia, a la hora de contratar a un proveedor de Cloud Computing que ofrezca las mayores garantías posibles, resultará indispensable contar con un asesoramiento adecuado que permita verificar que el proveedor cumple con todos los requisitos necesarios, debiendo prestar especial atención a la normativa en materia de protección de datos.
Artículos Relacionados
- Digitalización documental legal, ¿resulta sencilla?
- La Protección de datos en las licitaciones públicas
- La Protección de datos personales en el proceso de selección y contratación del personal
Sobre el Autor
Adrián Manrique De Lara Martín
Adrián Manrique es abogado que presta asesoramiento jurídico en materia de privacidad y derecho digital en Ceca Magán Abogados. Es graduado en Derecho por la Universidad de Las Palmas de Gran Canaria, titulado en el Máster de Acceso de Abogacía por la misma Universidad y se ha especializado en Protección de Datos habiendo realizado el Máster de especialización en la Universidad de la Rioja (UNIR). Del mismo modo, cuenta con un curso superior en Ciberseguridad por Deusto Formación.
Cuenta con el título Advanced Certificate (C1) de la Universidad de Cambridge y Goethe - Zertifikat (B2) del Goethe Institut siendo, por tanto, sus idiomas de trabajo el español y el inglés, teniendo a su vez conocimientos avanzados de alemán.
En el sector privado, cuenta con experiencia en la adecuación e implementación integral a la normativa de protección de datos personales, así como en el asesoramiento a empresas tecnológicas y gestión de la información. Asimismo, ha prestado asesoramiento y tutorizaciones a nuevos emprendedores en todo lo referido a la protección de datos relacionada con sus negocios y actividades profesionales.
En lo relativo al sector público, cuenta con experiencia en la adecuación e implantación del Reglamento General Europeo de Protección de datos, así como ha colaborado en proyectos en materia de Participación Ciudadana y Transparencia de la información pública.