Cloud en EUA ¿cumple la LOPD?
Los servicios de cloud en EUA y el alojamiento de datos personales fuera del ámbito nacional, es una solución por la que cada vez más optan desarrolladores y empresas, esencialmente por una cuestión de costes, especialmente en el caso de cloud en EUA.
Antes de decidirnos por un proveedor de cloud, conviene hacernos algunas preguntas para saber si el mismo cumple o no la normativa de protección de datos. Aquí van:
Allotjaré datos personales en el cloud? Esta es la primera pregunta a hacerse y si la respuesta es sí, la consecuencia directa es que nos es aplicable la LOPD. Por datos personales entenderemos no sólo cosas tan obvias como el nombre, sino también el email o fotografías. Así cualquier proveedor de cloud que pueda alojar este tipo de datos, implicará la aplicación inmediata de la LOPD.
Mi proveedor está en España. ¿Qué hago? En este caso es necesario considerar el proveedor del servicio cloud, como un encargado del tratamiento, lo que implica que deberá firmar hacernos un contrato de tratamiento de datos por cuenta de terceros, de acuerdo a la LOPD, en el que se ‘deberá incluir esencialmente: el servicio que se contrata y que tiene como consecuencia el acceso a nuestros datos, las medidas de seguridad a implementar y si se prevén subcontrataciones del servicio (algo muy habitual en el mundo del cloud).
Mi proveedor está en la UE, ¿qué hago? Si tu proveedor está en algún estado miembro de la UE, no tendrás que hacer nada diferente a lo que debe hacerse si estuviera en España. Esto mismo vale si tu proveedor está en Islandia, Noruega, Liechstenstein. Andorra, Argentina, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay y (con unos requisitos especiales) EEUU.
Mi proveedor está en EE.UU, ¿qué hago? En este supuesto debes comprobar que tu proveedor está dado de alta en la lista de empresas adheridas al Protocolo de Puerto Seguro. En caso de que así sea, podrás contratar el servicio con los mismos requisitos que si la empresa estuviera en España, de lo contrario deberás aplicar alguna de las soluciones expuestas a continuación.
Mi proveedor no está en la lista de países indicados ni cumple con el Protocolo de Puerto Seguro, ¿qué hago? En este caso tienes tres opciones:
• Solicita el consentimiento a los titulares de los datos para alojarlos en el proveedor deseado. • Solicita la autorización a la AEPD para contratar el proveedor. • Cambia de proveedor.
Asegurarse de que tu proveedor de cloud cumple con la LOPD es un aspecto importante, ya que en caso de alojar datos en un país que no cumple con unos estándares mínimos, puede suponer una de las infracciones muy graves previstas en la LOPD (multas de hasta 600.000€).
A todo esto debemos añadir para concluir, que a pesar de que en la mayoría de casos los contratos de prestación de servicios de cloud, no son negociables, esto no implica, según la AEPD que el cliente esté eximido de cumplir con la LOPD, ya que deberá comprobar que este proveedor cumple y en caso de que determine que no lo hace, contratar con otro. Así lo determinó la AEPD en la Guía para clientes de Cloud que editó en su momento.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!