Pablo Rivas VirgósGarrigues
En la actualidad son habituales las opiniones que preconizan el modelo Cloud Computing, como la forma predominante que adoptarán las empresas en un futuro cercano para organizar sus sistemas de información. De igual forma, son numerosas las opiniones que señalan como uno de los principales problemas derivados de Cloud Computing, las posibles implicaciones en materia de protección de datos de carácter personal que este modelo suscita.
En relación con el concepto de Cloud Computing, lo cierto es que no existe una definición única y comúnmente aceptada de dicho término. A este respecto, a los efectos que aquí nos ocupa lo verdaderamente relevante es que Cloud Computing constituye un sistema de computación en virtud del cual los datos de carácter personal generados como consecuencia de la utilización de una aplicación informática bajo esta modalidad, se almacenan directamente en los servidores del prestador de servicios.
Así las cosas, nos encontramos por tanto como el acceso por parte de un proveedor de servicios Cloud Computing a datos personales responsabilidad de su cliente, supone que dicho prestador se configure como un Encargado del Tratamiento del cliente, debiendo suscribir cliente y proveedor el preceptivo contrato que incluya las menciones del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, “LOPD”).
Sentado lo anterior, el presente artículo se centra en analizar sendas cuestiones que vienen generando cierto debate en relación con los servicios Cloud Computing, a saber: la supuesta falta de seguridad de los datos y la presunta opacidad en lo concerniente al lugar de almacenamiento de los mismos.
Con respecto a la primera de las aludidas cuestiones, de acuerdo con lo dispuesto en el artículo 12 de la LOPD, el Encargado del Tratamiento deberá adoptar con motivo del procesamiento de los datos personales responsabilidad del cliente las medidas de seguridad que exige la normativa de protección de datos.
Esta obligación general es desarrollada por el artículo 82 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD (en lo sucesivo, “Reglamento). Este precepto regula las concretas obligaciones que en materia de seguridad ha de cumplir el Encargado del Tratamiento, en función de cómo se vaya a producir el acceso a los datos personales del Responsable.
De este modo, en el supuesto de que el prestador de servicios Cloud Computing se encuentre establecido en España, aparte de la inclusión de las menciones recogidas en el artículo 12 de la LOPD en el contrato que suscriba el cliente con el aludido proveedor, dicho instrumento deberá recoger de forma expresa la obligación de éste último de elaborar un documento de seguridad en los términos exigidos por el artículo 88 del citado Reglamento o completar el que ya hubiera elaborado, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
Por otro lado, se ha de recordar que todo cliente que contrata la prestación de un servicio que comporta el tratamiento de datos personales de su responsabilidad, debe velar por que el Encargado del Tratamiento reúna las garantías para el cumplimiento de las obligaciones que le corresponde asumir en virtud de la normativa en materia de protección de datos.
A este respecto, es evidente que la obligación más compleja que afronta el Encargado del Tratamiento frente al Responsable es la adopción y cumplimiento de las medidas de seguridad. Por este motivo, es recomendable que el cliente que contrate a un prestador de servicios Cloud Computing se reserve en el contrato la posibilidad de adoptar medidas tales como la realización de auditorias al Encargado del Tratamiento, al objeto de comprobar su cumplimiento de las obligaciones en materia de seguridad.
En definitiva, las empresas que deseen contratar un servicio Cloud Computing, cuentan en España con un marco legal que impone al Encargado del Tratamiento la obligación de procesar los datos del cliente de acuerdo de acuerdo con el régimen de seguridad establecido por la normativa de protección de datos.
Continuando con el presente artículo, se analiza a continuación el otro aspecto que mayor controversia está generando en relación con Cloud Computing: la presunta opacidad en relación con el emplazamiento físico de los datos.
Con respecto a esta cuestión, lo primero que ha de señalarse es que, de acuerdo con el artículo 12 de la LOPD, el Encargado del Tratamiento tiene la obligación de tratar única y exclusivamente los datos responsabilidad del cliente conforme a las instrucciones de éste, no pudiendo utilizarlos con ningún fin distinto.
De igual forma, a menos que el Responsable lo autorice el Encargado del Tratamiento no puede comunicar los datos a ningún tercero, ni tampoco subcontratar los servicios en el supuesto que esta circunstancia implicase el acceso por parte del subcontratista a datos del Responsable. Sendas circunstancias, unidas a la imposibilidad por parte de un Encargado del Tratamiento de llevar a cabo por si mismo y sin autorización del Responsable transferencias internacionales de datos a países sin un nivel de protección adecuado, constituyen en la práctica un marco legal extraordinariamente garantista para cualquier empresa que contrata un servicio con un tercero que implica el acceso a datos de su responsabilidad.
Con base en lo anterior, lo verdaderamente relevante es que, de manera previa al inicio del servicio Cloud Computing, el proveedor ponga en conocimiento del cliente si sus datos van a estar alojados en el servidor de un tercero subcontratado, así como la ubicación física del mismo, en el supuesto de que el servidor se encuentre en un país sin un nivel de protección de adecuado. Todo ello, al objeto de articular las correspondientes autorizaciones por parte del Responsable en el caso de que las mismas fueran necesarias.
