Nuevos retos en Protección de Datos: Cloud Computing

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Nuevos retos en Protección de Datos: Cloud Computing

Nuevos retos en Protección de Datos: Cloud Computing

20 abril, 2018 | GDPR Legal

Las tecnologías evolucionan y con ello generan retos jurídicos que hace tiempo ni siquiera imaginábamos. El Derecho siempre va detrás de los hechos; y cuando hablamos de hechos tan cambiantes como los que las TIC propician, la necesidad de reacción se vuelve más crítica. Entre los diferentes retos jurídicos que se plantean, vamos a poner el zoom sólo en uno de ellos: la protección de datos de carácter personal.

Los retos tecnológicos que la protección de datos debe de afrontar son múltiples. El esquema de certificación de DPD incluye algunos como Cloud computing, Smartphones y APPs, RFID, Internet de las cosas, Big Data y profiling, etc…. Pero hay muchos otros que no ha incluido, como por ejemplo el reconocimiento facial, procesamiento de lenguajes naturales, robots, vehículos autónomos o drones que se mencionaron en la 38ª Conferencia internacional de protección de datos y comisionarios de Privacidad que se celebró en octubre de 2016 bajo el título “INTELIGENCIA ARTIFICIAL, ROBÓTICA, PRIVACIDAD Y PROTECCIÓN DE DATOS”.

En algunos casos las autoridades de protección de datos han publicado guías o existen Directrices; En otros casos (habida cuenta de su novedad) no existen pronunciamientos de las  autoridades o son muy parcos por lo que intentaremos encajarlas en la regulación del RGPD.

En este primer artículo nos centraremos en uno de ellos (el cloud computing) y posteriormente en futuros artículos iremos desgranando otros.

Como destaca la AEPD en su Guía en la contratación de estos servicios existen riesgos de falta de transparencia y falta de control:

Falta de transparencia

Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados”.

Falta de control

Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas”.

 

Ello obliga a la empresa que desee contratar estos servicios a recabar información previa al prestador sobre determinados aspectos del servicio. Todo ello en virtud del artículo 28.1 del RGPD que obliga a los responsables de tratamiento a elegir prestadores que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas para garantizar que el tratamiento es conforme con el RGPD y respeta la protección de los derechos del interesado.

Aquí nos gustaría añadir una nota importante, la AEPD dispone de dos guías sobre cloud computing cuya lectura es recomendada. Por ello, la AEPD en su Guía de Cloud Computing recomienda establecer una serie de verificaciones de control previas e incluso cotejar las respuestas facilitadas por varios prestadores: “las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la información proporcionada, ubicación del tratamiento, existencia de sub-encargados, políticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio”.

 

Por su parte el actual Instituto Nacional de Ciberseguridad INCIBE en un Informe de 2011 (Instituto Nacional de Ciberseguridad, Riesgos y amenazas del cloud computing”  Madrid 2011), destacaba en relación con los problemas de seguridad e incertidumbre sobre el marco jurídico y la legislación competente, los siguientes aspectos: 

  • Accesos de usuarios con privilegios: al ubicarse la información fuera de las instalaciones existe una pérdida de control de los accesos, por lo que se debe evitar implantando controles y medidas que usuarios sin privilegios o terceros puedan acceder a esa información.
  • Cumplimento normativo: en última instancia los clientes son los responsables de garantizar la confidencialidad, seguridad e integridad de la información, aunque no esté ubicada en sus instalaciones y servidores.
  • Localización de los datos: en entornos cloud no siempre se conoce de forma exacta en qué país está alojada la información y las diferentes copias de seguridad.
  • Aislamiento de datos: los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar una operación costosa.
  • Recuperación: los proveedores de servicio deben tener una política de restauración de la información ante eventos de seguridad. Si se replican copias en otras infraestructuras se garantiza igualmente la disponibilidad de la información.
  • Soporte investigativo: la investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos.
  •  Viabilidad a largo plazo: en un entorno ideal un proveedor de servicios

El equipo de profesionales de Govertis

Logotipo de Govertis

 

 

 

 

 

 

Tags: