Casi tres de cada cuatro usuarios desconocen los aspectos legales que hay que cumplir y tener en cuenta a la hora de contratar un producto o servicio en la nube, según se desprende de un análisis entre nuevos clientes de productos y servicios cloud de acens. Pese a que la seguridad suele ser una de las máximas preocupaciones a la hora de contratar servicios cloud, los usuarios no saben que como contratantes deben cumplir con los requisitos legales que marcan la Ley y su Reglamento, así como exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio.
Desde el momento en que una empresa española decide usar servicios en la nube para almacenar, procesar o gestionar información que incluya datos personales de sus clientes, usuarios, empleados… debe ser consciente de que la implantación del servicio debe realizarse siguiendo los criterios y garantías que establece la Ley de Protección de Datos de Carácter Personal (LOPD).
Con motivo del Día Internacional de la Protección de datos que se celebra el 28 de enero, acens aclara algunas de las dudas más frecuentes sobre los aspectos legales de la nube:
1.-Una nube terrenal: en España se pueden contratar servicios en la nube de forma fácil y con total garantía. Lo que ocurre es que la proliferación de acrónimos y la existencia de tecnologías similares para mismos servicios generan confusión. Por eso, lo más importante es saber que toda nube tiene una presencia terrenal y que conviene conocer su ubicación para saber si en materia de protección de datos cumple con la normativa española.
2.-Distintas nubes, mismas obligaciones: ya sean nubes privadas, públicas o híbridas como contratante el usuario debe cumplir con los requisitos legales que marca la Ley y su Reglamento, y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. Así, el contratante será responsable del fichero con toda la información que suba a la nube, mientras que el prestatario del servicio cloud será el responsable de velar por el correcto tratamiento de esos datos.
3.- Una nube con distintas necesidades: la oferta de productos y servicios en la nube es tan variada como tipo de empresas que demandan estas soluciones. En este sentido, cabe recordar que aunque existen unas exigencias y contratos marco para el cumplimiento de la LOPD, se pueden incorporar anexos para regular los servicios específicos que demanda una empresa o modificarlos a la casuística que tiene la empresa.
4.-Datos globales, normas locales: el desconocimiento de la ubicación de la nube no exime de las responsabilidades en materia de protección de datos. Esto es especialmente sensible en aquellos casos en los que el usuario contrata un servicio en la nube que puede tener físicamente los servidores en otro país y entonces se genera una transferencia internacional de datos que requiere de una serie de acciones adicionales cuando se trata de otro país de la UE o de Estados Unidos. En otros países incluso puede ser necesario una autorización previa de la Agencia Española de Protección de Datos, aunque el principal peligro reside a la hora de alojar datos en países donde se autoriza, en circunstancias particulares, al acceso a esa información por parte de determinadas autoridades, o se usan los datos con fines distintos a los acordados en el contrato.
5.-Seguridad física y lógica en la nube: la nube no es etérea. El prestador de servicio debe velar por salvaguardar la confidencialidad y la seguridad de la información para garantizar la integridad de los datos personales, gestionar los permisos de acceso a los datos y facilitar la recuperación de información en casos de incidencias. Hay que tener en cuenta que según el grado de sensibilidad de los datos personales las exigencias son mayores.