Cinco aspectos legales que los usuarios de servicios cloud deben conocer

Así lo pone de manifiesto el proveedor de Internet acens, tras un análisis entre nuevos clientes de productos y servicios cloud, con motivo del Día Internacional de la Protección de datos, que se celebra el 28 de enero.

Pese a que la seguridad suele ser una de las máximas preocupaciones a la hora de contratar servicios cloud, los usuarios no saben que como contratantes deben cumplir con los requisitos legales que marcan la Ley y su Reglamento, así como exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio.

De hecho, toda empresa española que decide usar servicios en la nube para almacenar, procesar o gestionar información que incluya datos personales de sus clientes, usuarios, empleados… debe seguir los criterios y garantías que establece la Ley de Protección de Datos de Carácter Personal (LOPD).

Con el fin de aclarar algunas de las dudas más frecuentes sobre los aspectos legales de la nube y con motivo de la celebración de mañana, desde acens han recopilado y respondido a cinco. Son éstas:

1. Una nube terrenal. Pese a que en España se pueden contratar servicios en la nube de forma fácil y con total garantía, la proliferación de acrónimos y la existencia de tecnologías similares para mismos servicios generan confusión. Por eso, lo más importante es saber que toda nube está alojada físicamente en algún sitio y es obligación del contratante conocer su ubicación y cerciorarse de que se cumplen las normativas de la Ley de Protección de Datos de Carácter Personal (LOPD).

2. Distintas nubes, mismas obligaciones. Privadas, públicas o híbridas, da igual. El contratante debe cumplir con los requisitos legales que marca la Ley y su Reglamento, y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. Así, el usuario será responsable del fichero con toda la información que suba a la nube, mientras que el prestatario del servicio cloud será el responsable de velar por el correcto tratamiento de esos datos.

3. Una nube con distintas necesidades. Aunque existen unas exigencias y contratos marco para el cumplimiento de la LOPD, se pueden incorporar anexos para regular los servicios específicos que demanda una empresa o modificarlos a la casuística que tiene la empresa.

4. Datos globales, normas locales. El desconocimiento de la ubicación de la nube no exime de las responsabilidades en materia de protección de datos. Por ejemplo, en aquellos casos en los que el usuario contrata un servicio en la nube que puede tener físicamente los servidores en otro país, generando una transferencia internacional de datos que requiere de una serie de acciones adicionales cuando se trata de otro país de la UE o de Estados Unidos. En otros países incluso puede ser necesario una autorización previa de la Agencia Española de Protección de Datos, aunque el principal peligro reside a la hora de alojar datos en países donde se autoriza, en circunstancias particulares, al acceso a esa información por parte de determinadas autoridades, o se usan los datos con fines distintos a los acordados en el contrato.

5. Seguridad física y lógica en la nube. Ante cualquier problema, el prestador del servicio debe velar por salvaguardar la confidencialidad y la seguridad de la información para garantizar la integridad de los datos personales, gestionar los permisos de acceso a los datos y facilitar la recuperación de información. Dependiendo del grado de sensibilidad de los datos personales, las exigencias son mayores.