Cloud als EUA: compleix la LOPD?
Els serveis de cloud als EUA i l’allotjament de dades personals fora de l’àmbit nacional, és una solució per la qual cada vegada més opten desenvolupadors i empreses, essencialment per una qüestió de costos, especialment en el cas de cloud als EUA.
Abans de decidir-nos per un proveïdor de cloud, convé fer-nos algunes preguntes per saber si el mateix compleix o no la normativa de protecció de dades. Aquí van:
Allotjaré dades personals en el cloud? Aquesta és la primera pregunta a fer-se i si la resposta és sí, la conseqüència directa és que ens és aplicable la LOPD. Per dades personals entendrem no solament coses tan òbvies com el nom, sinó també l’email o fotografies. Així qualsevol proveïdor de cloud que pugui allotjar aquest tipus de dades, implicarà l’aplicació immediata de la LOPD.
El meu proveïdor està a Espanya què faig? En aquest cas és necessari considerar al proveïdor del servei cloud, com un encarregat del tractament, la qual cosa implica que haurà de signar-nos un contracte de tractament de dades per compte de tercers, d’acord a la LOPD, en el qual s’haurà d’incloure essencialment: el servei que es contracta i que té com a conseqüència l’accés a les nostres dades, les mesures de seguretat a implementar i si es preveuen subcontractacions del servei (cosa molt habitual al món del cloud).
El meu proveïdor està en la UE, què faig? Si el teu proveïdor està en algun estat membre de la UE, no hauràs de fer res diferent al que ha de fer-se si estigués a Espanya. Això mateix val si el teu proveïdor està a Islàndia, Noruega, Liechstenstein. Andorra, Argentina, Canadà, Suïssa, Illes Fèroe, Guernsey, Israel, Illa de Man, Jersey, Nova Zelanda, Uruguai i (amb uns requisits especials) EUA.
El meu proveïdor està en EUA, què faig? En aquest supòsit has de comprovar que el teu proveïdor està donat d’alta en la llista d’empreses adherides al Protocol de Port Segur. En cas que així sigui, podràs contractar el servei amb els mateixos requisits que si l’empresa estigués a Espanya, en cas contrari hauràs d’aplicar alguna de les solucions exposades a continuació.
El meu proveïdor no està en la llista de països indicats ni compleix amb el Protocol de Port Segur, què faig? En aquest cas tens tres opcions:
• Sol·licita el consentiment als titulars de les dades per allotjar-los en el proveïdor desitjat.
• Sol·licita l’autorització a l’AEPD per contractar el proveïdor.
• Canvia de proveïdor.
Assegurar-se que el teu proveïdor de cloud compleix amb la LOPD és un aspecte important, ja que en cas d’allotjar dades en un país que no compleix amb uns estàndards mínims, pot suposar una de les infraccions molt greus que preveu la LOPD (multes de fins a 600.000 €).
A tot això hem d’afegir per concloure, que malgrat que en la majoria de casos els contractes de prestació de serveis de cloud, no són negociables, això no implica, segons l’AEPD que el client estigui eximit de complir amb la LOPD, ja que haurà de comprovar que aquest proveïdor compleix i en cas que determini que no ho fa, contractar amb un altre. Així ho va determinar l’AEPD en la Guia per a clients de Cloud que va editar en el seu moment.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!