Algunos proveedores de servicios en la nube han quedado en entredicho por la forma en la que acceden o comparten la información de sus usuarios. Te contamos qué criterios debemos considerar antes de elegir uno
Los servicios en la nube que Google ofrece quedaron seriamente en entredicho con la publicación de Martin Shelton, antiguo empleado de la compañía, que aseguraba que la compañía no sólo tenía la capacidad de acceder a la información que aloja en sus sistemas, si no que va más lejos: la lee y la analiza.
Más aún, la información estaría al alcance de Organismos de los Estados Unidos que la necesiten, confirmando casos en los que Google ha cedido información. Esta última afirmación no es nueva, porque ya se había denunciado en ocasiones anteriores la cesión de datos al Gobierno de EEUU por parte de empresas de alojamiento en la nube como Apple, Yahoo, Facebook y Google. De hecho, desde 2013, las revelaciones de Edward Snowden señalaban que la Agencia Nacional de Seguridad estaba explotando el dominio de los Estados Unidos en los servicios de internet para espiar a los ciudadanos del mundo.
En la misma línea, en los últimos meses se ha confirmado que Google recolecta datos médicos de millones de estadounidenses, accediendo a la información detallada de pacientes de una de las mayores compañías de salud de EE.UU.
El uso de proveedores de servicios cloud ha sido objeto de estudio detallado por parte de las autoridades de protección de datos, donde, afortunadamente han elaborado guías y recomendaciones al respecto del uso de este tipo de servicios, tanto para el proveedor que presta dichos servicios, como para el responsable de los tratamientos de datos personales que los contrata.
Consejos en la contratación de los servicios cloud
- Establecer claramente en el contrato con el proveedor del servicio la legislación aplicable si los clientes/responsables del tratamiento de los datos personales están sujetos a la ley española y europea, la relación jurídica con el prestador de servicios estará sometida al Reglamento Europeo de Protección de datos (RGPD) y la norma local de cada región en particular. La determinación de la ley aplicable es, asimismo, una cuestión que no es disponible para las partes. La aplicación de la legislación española no puede modificarse contractualmente.
- Especificar en el contrato la localización geográfica de los datos, siendo recomendable que sea dentro del espacio europeo. Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea.
- Exigir al proveedor de servicio aclarar las posibles subcontrataciones del alojamiento de los datos personales. En su caso, estas subcontrataciones deben garantizar el cumplimiento del contrato principal.
- Reflejar en el contrato las garantías para la portabilidad, es decir, la posibilidad efectiva de que los datos personales puedan ser devueltos al cliente o que éste pueda indicar que se transfieran a un nuevo proveedor de servicios que haya seleccionado, en el momento en que finalice la prestación de este.
- Es necesario establecer el canal y procedimiento de comunicaciones de brechas de seguridad que puedan ocurrir en el ámbito del proveedor y afecten a los datos del Responsable de los tratamientos, así como los plazos necesarios para las comunicaciones, condicionados a los plazos legalmente establecidos a tal efecto.
- El proveedor de servicios en cloud deberá asegurar mecanismos para la eliminación de los datos una vez que se haya finalizado la relación contractual.
- Exigir medidas de seguridad a través del cumplimiento de estándares a tal efecto como puede ser la ISO 27017 e ISO 27018, el esquema nacional de seguridad – concretando en la guía 823 Seguridad en entornos Cloud – o también la matriz de controles de seguridad de Cloud Security Alliance.
El caso de la banca
En casos concretos como el del sector bancario, la European Banking Authority ha establecido una serie de recomendaciones dirigidas a la contratación de servicios en la nube, que son obligatorias desde el 1 de julio de 2018, abordando cinco áreas clave: la seguridad de los datos y sistemas, la localización de los datos y el tratamiento de datos, los derechos de acceso y auditoría, la subcontratación, los planes de contingencia y las estrategias de salida.
No es de extrañar que la EBA aconseje a las entidades bancarias tener especial cuidado en celebrar y gestionar acuerdos de externalización celebrados fuera del espacio europeo, debido a los posibles riesgos de protección de datos y a los riesgos para la supervisión efectiva por parte de la autoridad supervisora.
Te ayudamos
En caso de duda, en Sothis ayudamos a nuestros clientes a determinar y establecer las medidas de seguridad y contractuales que se requieren en el ámbito de la protección de datos personales y el cumplimiento con la normativa europea – GDPR – y española, así como la normativa sectorial que sean aplicables.