Utilización de servicios de internet en la nube (cloud computing)


Josep Aragonés Salvat     09/01/2016

¿Qué debemos tener en cuenta para utilizar servicios de internet en la nube?

Antes de utilizar servicios de internet en la nube donde se puedan transferir datos personales, se deben tener en cuenta una serie de precauciones con el fin de cumplir con la normativa de protección de datos en materia de transferencias internacionales de datos.
 
Lo primero a determinar es el país del proveedor para saber la legislación que le compete y en segundo lugar donde estarán ubicados físicamente los datos personales transferidos a la nube.
 
Si el país del proveedor es miembro de la UE, estará obligado a cumplir la normativa de protección de datos del mismo y estará garantizado, al menos, las posibles consecuencias de su incumplimiento.

Si el país del proveedor no es miembro de la UE solo se podrán transferir legalmente datos personales  si:
 
  1. El país tiene un nivel adecuado de protección: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda. 
  2. Se ha obtenido la autorización de la Directora de la AEPD. 
  3. El Responsable del tratamiento ha obtenido el consentimiento inequívoco de los interesados (personas afectadas por la transferencia), debiendo poder demostrar que les ha advertido fehacientemente de los riesgos del tratamiento porque la legislación que compete al proveedor de los servicios no posee un nivel adecuado de protección. 
Lo mismo pasará según donde estén ubicados físicamente los datos transferidos a la nube, independientemente de si el proveedor está establecido o no en la UE.
 
A parte de lo descrito anteriormente, existirá la obligación de suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD como Encargado o Corresponsable del tratamiento con el proveedor de servicios.
 

¿Qué servicios de internet en la nube están afectados?

 
Básicamente están afectados todos los servicios de internet que tratan datos personales de ciudadanos europeos y que el proveedor o la ubicación de los datos esté en los EEUU, ya que el acuerdo de “Safe Harbor” (Puerto Seguro) que lo permitía,  quedó invalidado el 6 de octubre de 2015 por Tribunal de Justicia de la Unión Europea.

Los servicios mas comunes son el alojamiento web, el almacenamiento en la nube y la gestión de mailing.
 
Los proveedores más comunes son: Facebook, Amazon, Apple, Microsoft, Mailchimp, Drop Box, Google Drive,  etc.
 
A partir de ahora, será la AEPD quien decidirá si se podrán transferir estos datos. Seguramente, los proveedores de servicios internacionales van a solicitar a sus usuarios el permiso para estas transferencias, pero cuando estos servicios son contratados por empresas que tratan datos de sus clientes, esto no les valdrá para evitar las sanciones que puedan tener por ceder estos datos a la Agencia de seguridad de EEUU.
 

Consecuencias de la sentencia del TJUE en la transferencia de datos a EE UU

 
Tras la sentencia del TJUE, las Autoridades de Protección de datos de la UE han advertido que las transferencias que aún se estén llevando a cabo bajo estas condiciones son ilegales y dan un margen de tiempo hasta finales de enero de 2016 para empezar a aplicar las medidas legales que correspondan a las empresas que lo incumplan.
 
Como se acerca la fecha y no hay previsto un nuevo acuerdo entre EEUU y la UE, lo más apropiado es empezar a buscar soluciones en servidores europeos o ubicados en un país con un nivel adecuado de protección y así poder cumplir con la normativa lo más pronto posible y evitar las sanciones (que pueden llegar a 600.000 euro) por posibles denuncias por este tratamiento.
 

Resumiendo


Si utiliza servicios en la nube ubicados en EEUU para guardar datos personales responsabilidad de su empresa (clientes, trabajadores, contactos, etc.), debería proceder a buscar otros proveedores ubicados en la UE o con un nivel adecuado de protección, para prevenir que no se llegue a un acuerdo satisfactorio entre EU y EEUU que permita estas transferencias.

Si sólo utiliza estos servicios a nivel particular, o sea sin guardar datos personales pertenecientes a su empresa, podrá seguir usándolos, ya que el consentimiento para el tratamiento de sus datos deberá confirmado usted mismo en el momento en que se dio de alta en el servicio.