La gran mayoría de los usuarios desconoce la normativa aplicable en la nube

  • Cloud

Aunque los usuarios están preocupados por la seguridad de la nube, casi tres de cada cuatro desconocen los requisitos legales que deben cumplir y exigir a su proveedor de servicios.

Casi tres de cada cuatro usuarios desconocen los aspectos legales que hay que cumplir y tener en cuenta a la hora de contratar un producto o servicio en la nube, según se desprende de un análisis entre nuevos clientes de productos y servicios cloud de acens. Pese a que la seguridad suele ser una de las máximas preocupaciones a la hora de contratar servicios cloud, los usuarios no saben que como contratantes deben cumplir con los requisitos legales que marcan la Ley y su reglamento, así como exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio.

 Desde el momento en que una empresa española decide usar servicios en la nube para almacenar, procesar o gestionar información que incluya datos personales de sus clientes, usuarios, empleados… debe ser consciente de que la implantación del servicio debe realizarse siguiendo los criterios y garantías que establece la Ley de Protección de Datos de Carácter Personal (LOPD).

Desde acens explican que, independientemente de siglas y de los diferentes tipos de servicios, toda nube tiene una presencia física y que conviene conocer su ubicación para saber si en materia de protección de datos cumple con la normativa española.

Ya sean nubes privadas, públicas o híbridas, como contratante el usuario debe cumplir con los requisitos legales que marca la Ley y exigir el cumplimiento de unos mínimos jurídicos y técnicos a la empresa prestataria del servicio. Así, el contratante será responsable del fichero con toda la información que suba a la nube, mientras que el prestatario del servicio cloud será el responsable de velar por el correcto tratamiento de esos datos.

La oferta de productos y servicios en la nube es tan variada como tipo de empresas que demandan estas soluciones. En este sentido, cabe recordar que aunque existen unas exigencias y contratos marco para el cumplimiento de la LOPD, se pueden incorporar anexos para regular los servicios específicos que demanda una empresa o modificarlos a la casuística que tiene la empresa.

El desconocimiento de la ubicación de la nube no exime de las responsabilidades en materia de protección de datos. Esto es especialmente sensible en aquellos casos en los que el usuario contrata un servicio en la nube que puede tener físicamente los servidores en otro país y entonces se genera una transferencia internacional de datos que requiere de una serie de acciones adicionales cuando se trata de otro país de la UE o de Estados Unidos. En otros países incluso puede ser necesario una autorización previa de la Agencia Española de Protección de Datos, aunque el principal peligro reside a la hora de alojar datos en países donde se autoriza, en circunstancias particulares, al acceso a esa información por parte de determinadas autoridades, o se usan los datos con fines distintos a los acordados en el contrato.

Por último, el prestador de servicio debe velar por salvaguardar la confidencialidad y la seguridad de la información para garantizar la integridad de los datos personales, gestionar los permisos de acceso a los datos y facilitar la recuperación de información en casos de incidencias. Hay que tener en cuenta que según el grado de sensibilidad de los datos personales las exigencias son mayores.

Redacción