Lo que debe conocer para la contratación de servicios de “la nube”

Todos estamos cada día más interesados en contratar los servicios de almacenamiento de datos en la nube. Resulta un servicio útil y atractivo para los usuarios de internet, ya que les permite tener en un mismo espacio los datos importantes que quieren almacenar.

Esta  guía se articula sobre un cuestionario de preguntas y respuestas que trata los aspectos esenciales para la protección de datos en estos servicios, pues un mal uso de los mismos, si el servicio prestado no cumple las medidas de seguridad puede acarrearnos graves perjuicios.

¿Qué debo tener en cuenta antes de contratar servicios de la nube?

En primer lugar debemos considerar el tipo de datos que queremos almacenar atendiendo a su mayor o menor sensibilidad, por ejemplo los datos meramente identificativos no son datos sensibles y los relacionados con la salud tienen la máxima sensibilidad, los datos bancarios se recomienda siempre no guardarlos en sitios que puedan ser compartidos.

 Debe informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios y decidir para qué datos contratará servicios de la nube y cuáles prefiere mantener en sus propios sistemas de información.

Esta decisión es importante porque delimitará las finalidades para las que el proveedor de la nube puede tratar los datos. En consecuencia, debe garantizarse expresamente que no utilizará los datos para otra finalidad que no tenga relación con los servicios contratados.

¿Cuál es mi papel como cliente de un servicio de la nube?

El cliente que contrata servicios de la nube sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional, la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una

cláusula en el contrato con esta finalidad.

El que ofrece la contratación de la nube es un prestador de servicios que en la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.

¿Cuál es la legislación aplicable?

El modelo de la nube hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso:

• El cliente que contrata servicios de la nube sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).
• La aplicación de la legislación española no puede modificarse contractualmente.
• Aunque le informen de que los datos personales están disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio.

¿Cuáles son mis obligaciones como cliente?

Puede solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios de la nube.

De ser así:

• Tiene que dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de la nube tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros.

• Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web o a través de otras opciones que le facilite el prestador del servicio).

• El proveedor de la nube debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.