La legislación que nos afecta en relación a los sistemas de Cloud Computing es la Ley 15/1999 sobre Protección de Datos de Carácter Personal de 13 de Diciembre (LOPD) y la desarrolla el Real Decreto 1720/2007.
Dentro del marco de esta ley se contemplan las figuras del interesado, que es quien contrata los servicios de la nube y la de los prestadores del servicio. Los contratantes, según la LOPD actuarían como responsables del fichero de la información que suban a la nube, el prestador del servicio adoptaría la figura de encargado de tratamiento.
La Ley Orgánica de Protección de Datos define en su artículo 3.d) al responsable del fichero como la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. Y esto quiere decir que como contratantes hay una serie de requisitos legales que debemos cumplir y que además, podemos exigir el cumplimiento de unos mínimos técnicos y jurídicos a la empresa a la que contratamos el servicio.
La figura del encargado de tratamiento se define también en el artículo 3.g) de esta ley como la persona física o jurídica, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Resuelto pues la definición de las figuras tendremos que asegurarnos que el contrato contenga las condiciones marcadas en el Art. 12 de la LOPD, o en su defecto se firme un contrato de acceso a datos por parte de terceros. Este artículo define el acceso a datos por parte de terceros como “… la realización de tratamientos por cuenta de terceros a los datos deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”
Se deberá hacer mención expresa en el contrato como mínimo a los siguientes aspectos:
Una descripción detallada de las prestaciones a realizar y finalidad; Si el servicio va a tener o no, carácter remunerado; si la prestación va a ser temporal o indefinida; Que el encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero; que el Encargado del tratamiento no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o utilizará, ni siquiera para su conservación, a otras personas, salvo previa indicación expresa del responsable del fichero; posibilidad de subcontratación de los servicios, contando con autorización del responsable del fichero; las medidas de seguridad que el encargado del tratamiento está obligado a implementar, atendiendo al contenido de los Art. 9 de la LOPD y 79 y siguientes del RLOPD; la obligación de guardar secreto respecto de los datos objeto de tratamiento y una vez finalizada la prestación de servicio los datos de carácter personal deberán ser devueltos al responsable del tratamiento.
Debemos pedir además de este requisito legal, unas medidas de seguridad establecidas también en la ley, sobre todo cuando por la tipología de la información se traten de datos sensibles, y cerciorarnos que nos garanticen la confidencialidad, integridad y disponibilidad de los datos e información que subimos a la nube, punto este que es considerado como máxima en la implantación de Sistemas de Gestión de la Seguridad de la Información.
Fuentes del artículo: El Derecho, Legal Today y harveylluch.com
La entrada El Cloud Computing y la Ley Orgánica de Protección de Datos aparece primero en Blog de tecnología, hardware, IT y electrónica de red..