Taller APEP sobre «Cloud Computing»
Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».
Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.
Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento.
Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.
Hola,
Una pena no haber podido seguir el evento en streaming. Gracias por el resumen.
Amedeo Maturo
Creo que van a colgar el vídeo. Gracias a ti. Un saludo.
Gracias por el resumen.
Bravo por el requisito de exigir una auditoría, un nivel por encima de las exigencias de la ley que contribuirá a frenar los servicios en cloud.
En todo caso, mucho más sencillo que establecer normas precisas para los proveedores de cloud y facilitarles a éstos el cumplimiento de la normativa.
En fin.
Lo de la auditoría es una forma de que el que contrata tenga cumplida la exigencia del 20.3. No es que sea una nueva obligación para el proveedor de cloud, sino que se considera que el responsable es suficientemente diligente si se el encargado cuenta con esa auditoría. Es una forma de cumplirlo, puede haber otras.
Un saludo y gracias por el comentario.
Un taller muy interesante, ya que con la llegada del cloud computing, la principal ventaja es que toda la información es más facilmente accesible. Teniendo que tener muy en cuenta el tema de la seguridad de la información. Saludos.