Utilització de serveis d'internet al núvol (cloud computing)


Josep Aragonés Salvat     09/01/2016

Què hem de tenir en compte per utilitzar serveis d'internet en el núvol?

Abans d'utilitzar serveis d'internet en el núvol on es puguin transferir dades personals, s'han de tenir en compte una sèrie de precaucions per tal de complir amb la normativa de protecció de dades en matèria de transferències internacionals de dades.

El primer a determinar és el país del proveïdor per saber la legislació que li competeix i en segon lloc on estaran ubicats físicament les dades personals transferits al núvol.

Si el país del proveïdor és membre de la UE, estarà obligat a complir la normativa de protecció de dades del mateix i estarà garantit, almenys, les possibles conseqüències del seu incompliment.

Si el país del proveïdor no és membre de la UE només es podran transferir legalment dades personals si:
 
  1. El país té un nivell adequat de protecció: Suïssa, Canadà, Argentina, Guernsey, Illa de Man, Jersey, Illes Fèroe, Andorra, Israel, Uruguai i Nova Zelanda.
  2. S'ha obtingut l'autorització de la directora de l'AEPD.
  3. El Responsable del tractament ha obtingut el consentiment inequívoc de les persones interessades (persones afectades per la transferència), havent de poder demostrar que els ha advertit fefaentment dels riscos del tractament perquè la legislació que competeix al proveïdor dels serveis no posseeix un nivell adequat de protecció.
El mateix passarà segons on estiguin ubicats físicament les dades transferides al núvol, independentment de si el proveïdor està establert o no a la UE.

A part del descrit anteriorment, hi ha l'obligació de subscriure un contracte d'acord amb el que disposa l'article 12 de la LOPD com encarregat o Corresponsable del tractament amb el proveïdor de serveis.
 

Quins serveis d'internet en el núvol estan afectats?


Bàsicament estan afectats tots els serveis d'internet que tracten dades personals de ciutadans europeus i que el proveïdor o la ubicació de les dades estigui als EUA, ja que l'acord de "Safe Harbor" (Port Segur) que ho permetia, va quedar invalidat el 6 octubre 2015 per Tribunal de Justícia de la Unió Europea.

Els serveis més comuns són l'allotjament web, l'emmagatzematge al núvol i la gestió de mailing.

Els proveïdors més comuns són: Facebook, Amazon, Apple, Microsoft, Mailchimp, Drop Box, Google Drive, etc.

A partir d'ara, serà l'AEPD qui decidirà si es podran transferir aquestes dades. Segurament, els proveïdors de serveis internacionals van a sol·licitar als seus usuaris el permís per aquestes transferències, però quan aquests serveis són contractats per empreses que tracten dades dels seus clients, això no els valdrà per evitar les sancions que puguin tenir per cedir aquestes dades a l'Agència de seguretat dels EUA.
 

Conseqüències de la sentència del TJUE en la transferència de dades als EUA


Després de la sentència del TJUE, les autoritats de Protecció de dades de la UE han advertit que les transferències que encara s'estiguin duent a terme sota aquestes condicions són il·legals i donen un marge de temps fins a finals de gener de 2016 per començar a aplicar les mesures legals que corresponguin a les empreses que ho incompleixin.

Com s'acosta la data i no hi ha previst un nou acord entre els EUA i la UE, el més apropiat és començar a buscar solucions a servidors europeus o ubicats en un país amb un nivell adequat de protecció i així poder complir amb la normativa el més aviat possible i evitar les sancions (que poden arribar a 600.000 euro) per possibles denúncies per aquest tractament.
 

Resumint


Si fa servir serveis al núbol ubicats a EUA per guardar dades personals responsabilitat de la seva empresa (clients, treballadors, contactes, etc.), hauria de procedir a buscar altres proveïdors ubicats a la UE o amb un nivell adecuat de protecció, per prevenir que no s'arribi a un acord satisfactori entre EU i EUA que permeti aquestes transferències.

Si només fa servir aquests serveis a nivell particular, o sigui sense guardar dades personals pertanyents a la seva empresa, podrà seguir usant-los, ja que el consentiment per al tractament de les seves dades l'haurà confirmat vostè mateix en el moment en què es va donar d'alta en el servei.