Una reflexión sobre Cloud Computing y Privacidad

Según la Comisaria Europea de Justicia actualmente contamos con un verdadero mosaico de leyes de protección de datos en Europa. Las empresas de la UE deben lidiar con 27 leyes distintas, que a menudo entran en conflicto, y cuya aplicación difiere según la autoridad nacional encargada de su aplicación. Esta inseguridad y fragmentación jurídicas son una carga para las empresas que desean desarrollar su negocio en el mercado único europeo, y constituyen un obstáculo para el crecimiento económico y la innovación.

Mucho se está hablando acerca de las implicaciones normativas del Cloud Computing y la Privacidad. En la actualidad, sin necesidad de buscar explicaciones confusas o complicadas, los proveedores de servicios de Cloud Computing son encargados del tratamiento en aplicación de la normativa de protección de datos.

Consiguientemente, será necesario y conveniente formalizar un contrato de encargo del tratamiento con estos proveedores de servicios ya que el responsable del fichero es el obligado de formalizar dicha relación en un contrato y y exigir unos requerimientos mínimos conforme se establece en el artículo 12 de la LOPD. Esto es:

• Implantar las medidas de seguridad necesarias para garantizar la seguridad de la información que tratan.

• Deben suscribir el pertinente contrato de acceso regulando las condiciones del tratamiento que desarrollarían en nombre del responsable.

• En su caso, detallar dichos tratamientos en su documento de seguridad.

Resulta de extraordinaria importancia resaltar la obligación de vigilancia que tendrá sobre el cumplimiento de dicho contrato el Responsable del tratamiento, con las dificultades o imposibilidad que puede conllevar dicho control de los proveedores de servicios y las previsibles consecuencias y responsabilidades por incumplimiento de la normativa de protección de datos.

Atendiendo a la anunciada modificación del marco normativo en Europa y que, según parece, será más exigente con las empresas porque tendrán que asumir un mayor control sobre los datos de los usuarios, y quizá nuevas políticas de seguridad.

¿Cómo influye esta nueva normativa para los servicios de los proveedores de Cloud? Los proveedores de servicios en Cloud son por definición encargados del tratamiento y la propuesta de Reglamento incrementa las garantías que éstos deben de cumplir en relación al tratamiento de datos personales por cuenta del responsable del tratamiento.

Como establece el Considerando 60 de la Propuesta de Reglamento:

Se debe establecer la responsabilidad general del responsable por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, el responsable del tratamiento debe garantizar y está obligado a demostrar que cada operación de tratamiento cumple lo dispuesto en el presente Reglamento.

Esto es, asumen nuevos deberes:

• La conservación de la documentación asociada a la gestión de la protección de datos, de forma que por cada tratamiento que realicen deben conservar la información mínima descrita en el Reglamento.

• La necesidad de realizar una evaluación de riesgos para determinar las medidas apropiadas para garantizar un nivel de seguridad adecuado.

• Designar un delegado de protección de datos en los casos previstos por la norma comunitaria.

• El Reglamento pretende otorgar a los interesados mayor control sobre sus propios datos, obligando al responsable del tratamiento a establecer mecanismos de acceso, rectificación y cancelación por vía electrónica si la recogida de datos se realiza por la misma vía. El responsable tendrá la obligación de responder las solicitudes por escrito en el plazo de 1 mes, y motivar las denegaciones.

• Asimismo se introduce el derecho de los interesados a la portabilidad de sus datos, esto es a obtener del responsable del tratamiento una copia de sus datos en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos, y a transferir libremente dichos datos de un proveedor a otro.

• Se regula el “Derecho al olvido” y a la supresión de datos del interesado, obligando al responsable del tratamiento que haya difundido datos personales a comunicar a los terceros la solicitud de supresión de los datos del interesado.

• El interesado tendrá derecho a oponerse (y a que este derecho se le comunique de forma inteligible, explícita y diferenciada) a que sus datos se utilicen para la mercadotecnia directa, sin costo alguno. En particular, el interesado podrá oponerse a que con sus datos se elaboren perfiles cuyo objeto sea evaluar su rendimiento profesional, su situación económica, su localización, estado de salud, preferencias personales, su fiabilidad o su comportamiento. Este punto cobra relevancia con la generalización de dichos perfiles en las nuevas redes sociales, cuya existencia no tenía en cuenta la normativa anterior.

• Se introduce la obligatoriedad de contar con un delegado de protección de datos, para el sector público y para grandes empresas, además de los casos en que la actividad principal del responsable o encargado del tratamiento consista en actividades de tratamiento que exijan un seguimiento periódico y sistemático.

• Cuando el responsable del tratamiento tenga conocimiento de que se ha producido una violación de los datos personales que almacena (acceso no autorizado, pérdida o sustracción de datos), deberá notificarla a la autoridad de control inmediatamente, así como a las personas cuyos datos personales puedan verse afectados negativamente por dicha violación de datos personales. Esta medida puede contribuir a mitigar los efectos negativos del robo de información y los ataques contra los servidores de empresas para hacerse con los datos de sus clientes.

• El tratamiento de los datos personales relativos a los menores de 13 años solo será lícito si el consentimiento ha sido dado o autorizado por el padre o tutor del menor.

• La transferencia de datos fuera de la UE (incluyendo, por ejemplo, las realizadas en el contexto de servicios de “cloud computing”) se facilita en el caso de que las partes involucradas se comprometen a normas corporativas vinculantes.

Además el régimen sancionador podría aplicarse directamente a estos proveedores de servicios:

• No sólo por un incumplimiento de las instrucciones recibidas por el responsable.

• Por la comisión de cualquiera de las conductas tipificadas como sancionable.

P.ej. no conservar la documentación que hemos comentado anteriormente podrá sancionarse con multa de hasta 500.000 euros o, si se trata de una empresa, de hasta el 1% del volumen de negocios anual a nivel mundial.

Para dar respuesta a esta situación, la propuesta de reglamento se centra en 3 aspectos:

El primero es la seguridad jurídica; en este sentido se amplía el alcance de la normativa europea a todas las empresas extranjeras que comercialicen bienes o servicios a consumidores de la UE (incluso si sus servidores se encuentran fuera de la UE). Con una clara influencia en los servicios de Cloud Computing.

El segundo sería la simplificación normativa: se establece que las empresas con actividad en varios estados estarán sometidas a una única autoridad de protección de datos, la del domicilio de su sede principal. Pero ¿qué pasa si el Proveedor de servicios de Cloud Computing está fuera de la UE? Para ello, deberemos de estar a las Normas Corporativas Vinculantes como posible solución.

El tercero se refiere a la clarificación de las normas sobre las transferencias internacionales de datos personales. El reglamento se propone crear un modelo único de Normas Corporativas Vinculantes (que permiten a multinacionales y grupos de empresas realizar transferencias intragrupo fuera de la UE) que sólo precisen una única autorización a nivel UE.

Aunque la aplicación práctica de este reglamento habrá que ir viendo como se materializa una vez que entre en vigor.