El pasado 26 de abril, la Agencia Española de Protección de Datos
publicó dos guías a tener en cuenta, en materia de protección de datos, sobre los servicios cloud computing y LOPD, una para los propios prestadores de este tipo de servicios y otra para los clientes que contratan estos servicios. Ambas guías, se encuentran a disposición de cualquier usuario en la página web de la
Agencia Española de Protección de Datos.
En términos generales, lo que estas guías de orientaciones vienen a establecer o a aclarar es que las empresas que recogen y tratan datos siguen siendo los responsables del tratamiento aunque contraten con servicios cloud computing y LOPD, mientras que, los proveedores de este tipo de servicios serán encargados del tratamiento y, por tanto, se regirán por la ley de protección de datos a la que esté sujeta el responsable del fichero (a excepción de todo lo relativo a las medidas de seguridad). En nuestro caso, a la Ley 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
Por tanto, el responsable del tratamiento (el cliente del servicio) debe velar porque el encargado del tratamiento (el prestador del servicio cloud computing) cumpla con las debidas medidas de seguridad para proteger los datos personales allí almacenados.
Más teniendo en cuenta que el cliente tendrá todas las obligaciones propias del responsable del fichero (entre otras, poder garantizar los derechos ARCO a los titulares de los datos personales). Este deber de diligencia no recae en el supuesto, como sucede en la mayoría de los casos, que las condiciones del servicio sean fijadas por el proveedor del servicio cloud, resultando imposible para el cliente su negociación individual.
Esto sucede en servicios tan usuales como los ofrecidos por Google, Dropbox o Amazon. En estos supuestos la AEPD establece que la falta de capacidad del cliente para negociar el contrato, no le exhonera del deber de cumplir con la LOPD y por tanto de asegurarse que el proveedor de cloud cumple con las obligaciones en la materia: seguridad, no comunicación de los datos o control de los subcontratistas.
A mayor abundamiento, tiene que tenerse en cuenta que el hecho de contratar un servicio cloud computing, si este servicio está alojado fuera de la Unión Europea, implicará transferencia internacional de datos con todo lo que ello conlleva. Como se ha dicho también deberá controlarse si el proveedor del servicio de cloud subcontrata el servicio con terceros, lo que conllevaría la obligación de aplicar las reglas de la subcontratación incluidas en el RLOPD.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!