Si bien es cierto que no existe una definición única y comúnmente aceptada del término, para la cuestión que aquí nos ocupa podemos definir el Cloud Computing como un sistema de computación en virtud del cual los datos de carácter personal generados como consecuencia de la utilización de una aplicación informática bajo esta modalidad, se almacenan directamente en los servidores del prestador de servicios.
La definición de Cloud Computing que generalmente sirve de base para dotar de contenido este concepto tan sucinto es la que nos dio el NIST (Instituto Nacional de Estándares y Tecnologías, organismo del Departamento de Comercio de EEUU) de julio del 2009. Según esta definición, hay 5 características que definen el Cloud Computing: a) Autoservicio: el usuario puede utilizar más capacidades de procesamiento o almacenamiento de la información, sin pedirlo expresamente al proveedor del servicio. b) Amplio acceso a la Red: se puede acceder a ésta desde diferentes dispositivos y redes. c) Agrupación y reserva de recursos: hay un conjunto de recursos compartidos por los usuarios, de acuerdo con sus necesidades puntuales, que implica que en cada momento los recursos reservados puedan ser diferentes. d) Rapidez y elasticidad: se puede acceder a los nuevos recursos de manera inmediata y aparentemente ilimitada. e) Servicio medible y supervisado: se controla el uso y en todo momento se puede conocer, de manera transparente, el nivel de recursos utilizado.
Como vemos, en la prestación de un servicio de Cloud Computing, el cliente dispone de servicios compartiendo recursos con otros usuarios, con independencia de la localización exacta de dichos recursos. Por otro lado, se puede acceder a la red desde diferentes dispositivos (PC, móvil, PDA…) de una forma rápida y, aparentemente, sin límites. Estas ventajas junto a la creciente tendencia al Outsourcing que presentan las empresas, hacen que podamos afirmar que la tecnología Cloud se convertirá, en un futuro no tan lejano, en uno de los principales impulsores de la creación de negocio, competitividad y crecimiento económico del tejido empresarial. No debemos olvidar, además, como el uso de esta solución tecnológica supone y supondrá la reducción de costes netos acumulativos de las entidades que decidan contratarla.
No obstante, también se nos presenta un claro inconveniente que toma forma en todas las organizaciones que se plantean pasar sus sistemas y bases de datos al Cloud, que es la preocupación por la falta de confidencialidad de los datos: con la suscripción de estos servicios, casi de manera automática, desaparece o se difumina el conocimiento por parte de la empresa sobre la ubicación física exacta de la información, así como de las condiciones de procesamiento, sin ignorar que de esta manera pueden quedar afectadas las garantías de confidencialidad y de seguridad de la información situada en el Cloud.
A pesar de que tanto la Directiva 95/46/CE, relativa a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos, como la Ley Orgánica 15/99 de Protección de Datos prevén las circunstancias que supone una prestación de servicios de este tipo, (encargo de tratamiento junto, posiblemente, con transferencia internacional de datos, conceptos que luego analizaremos) su planteamiento con relación al tratamiento de la información es anterior a la “era Internet”. Es decir, que si la normativa vigente en dicha materia parte de una situación donde las bases de datos están centralizadas, tanto física como lógicamente, y situadas en los centros de procesamiento de datos instalados en los locales de la propia organización responsable del tratamiento, es misión de los juristas y legisladores modernos plantearse la incidencia de esta nueva forma de tratamiento.
La cuestión básica que surge en las empresas cuando se plantea la contratación de un servicio bajo la modalidad de Cloud Computing es conocer hasta qué punto es legal “colgar” en Internet los datos personales de nuestros clientes o de nuestros trabajadores. Es más, se preguntan cuál debe ser el nivel de seguridad de los servicios ofrecidos a través del Cloud Computing, cómo se garantizan esos niveles de seguridad, qué instrumentos tenemos para ello y a qué riesgos nos exponemos. Para poder dar respuesta a esta disyuntiva “Cloud Computing Vs. Protección de Datos” que nos hemos planteado, debemos tener en cuenta algunos aspectos de la normativa de protección de datos; siguiéndolos, siendo diligentes en la contratación de los servicios Cloud y manteniendo una buena política de confidencialidad y protección de la información, intentaremos resolver todas estas cuestiones.
En primer lugar, debemos tener muy en cuenta que el alquiler de plataformas o aplicaciones on-line por parte de los prestadores de los servicios de Cloud Computing no se considera una cesión de datos personales, según la legislación, sino que se encuadra como un “acceso a datos por cuenta de terceros”, que como sabemos encuadra al prestador del servicio en la figura del Encargado del tratamiento, una situación regulada en el art. 12 de la LOPD. La obligación principal que exige esta disposición legal, como sabemos, es la existencia de un contrato formal entre la empresa responsable de los datos (cliente que contrata el servicio Cloud Computing) y el encargado del tratamiento. Debe existir, necesariamente, una relación jurídica que vincule al responsable y al encargado de tratamiento y que delimite, de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el encargado por cuenta del responsable del tratamiento. En estos casos, debe aplicarse, en toda su extensión, lo previsto en el RD 1720/2007, desarrollador de la LOPD, en cuanto al clausulado que debe tenerse en cuenta en ese contrato: las condiciones de acceso a los datos, las medidas de seguridad que deberá implementar el proveedor de servicios, las condiciones de devolución de los datos una vez cumplido el servicio, las circunstancias de subcontratación con terceros, etc. Además, una de las obligaciones que establece el RDLOPD en el art. 20.2 es que el responsable del tratamiento debe velar porque el encargado del tratamiento cumpla con lo que prevé el reglamento, por lo tanto, hay que articular mecanismos de supervisión, incluso, en aquellos casos especialmente difíciles cuando el encargado del tratamiento tenga una posición dominante en el mercado.
Un segundo aspecto a tener en cuenta, que debe aparecer siempre que nos planteamos un tratamiento o uso específico respecto a la información de carácter personal, es el principio de calidad de los datos personales. Dicho principio (artículo 4 LOPD) establece que el uso de los datos personales, únicamente, será el correspondiente a las finalidades para las que se obtuvieron dichos datos. Esta norma implica un control constante para evitar posibles usos ilegítimos, por eso es imprescindible proceder a enumerar y desarrollar en el contrato con el prestador del servicio cuales serán los usos, accesos y, en definitiva, tratamientos que realizará con la información que coloquemos en el Cloud. Además, el principio de calidad señala que los datos deben ser cancelados cuando hayan dejado de ser necesarios para su finalidad, por ello, debemos asegurarnos que cuando el Responsable de los datos cancele o bloquee los datos, esta acción es efectuada, también, por el encargado del tratamiento, ya sea mediante un clausulado en este sentido en el contrato o bien a través del derecho a realizar auditorías periódicas al prestador del servicio.
En tercer lugar, debemos atender al nivel de seguridad que se aplicará en el tratamiento de los datos, ya que no podrá exigir el mismo nivel de seguridad un responsable cuyos datos se configuran de nivel básico, como un responsable con ficheros de nivel medio o alto. La implantación de medidas técnicas debería ser un aspecto en el que podernos sentir más relajados, pues es de esperar que un proveedor de servicios Cloud Computing ponga todo su conocimiento, experiencia e interés al servicio de un entorno seguro, que constituye la base de su negocio. No obstante, esta confianza no nos exime de exigir unas determinadas garantías. En primer lugar, mediante la redacción de unas cláusulas técnicas que definan las medidas de seguridad que el proveedor debe aplicar y exigiendo su cumplimiento durante la ejecución del servicio. Algunas formas de asegurarnos este cumplimiento, que ha señalado la propia Agencia Española de Protección de Datos en algunos artículos y conferencias realizados al respecto, podrían ser fijar en el contrato la potestad para realizar auditorías técnicas, la imposición de penalizaciones por incumplimiento o bien la exigencia de contratación de un seguro de responsabilidad civil.
El cuarto y último aspecto a analizar, pero no por ello el menos es importante, bien al contrario, está conectado con algo tan básico como conocer cuál es el destino concreto de los datos personales que vamos a subir al Cloud, el lugar en el que se ubicará el servidor que contiene dichos datos. Aunque parezca obvia esta cuestión, la realidad demuestra que existen algunos servicios Cloud Computing que no ofrecen información sobre la localización del centro de proceso de datos, e incluso ofrecen ventajas económicas o descuentos a cambio de que el proveedor de servicios decida en cada momento donde residenciar las plataformas o servicios contratados.
Conocido el lugar, conditio sine qua non de la contratación de estos servicios, se nos plantea la circunstancia, más que probable, de que, consecuencia del uso de servicios Cloud Computing, se pueda llegar a producir lo que la normativa denomina una Transferencia Internacional de Datos.
Una Transferencia Internacional de Datos se produce cuando se realiza un tratamiento de datos que implica transmitirlos fuera del Espacio Económico Europeo que constituya una cesión de datos, o tenga por objeto tratamientos de datos realizados por entidades encargadas del mismo, por cuenta del responsable del fichero establecido en España. Si se da una Transferencia Internacional de Datos es de aplicación lo previsto en los artículos 33 y 34 de la LOPD y artículos 65 a 70 del RLOPD.
Las Transferencias Internacionales de Datos efectuadas desde España requieren, como regla general, la previa autorización del Director de la Agencia Española de Protección de Datos. No obstante, se excluye tal requisito para determinados supuestos como, por ejemplo, cuando la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado respecto del cual la Comisión Europea, en el ejercicio de sus competencias, haya declarado que garantiza un nivel adecuado de protección, equiparable al establecido en la Directiva 95/46/CE. Igualmente se consideran como Estados de nivel adecuado de protección y, por tanto, no requieren de la autorización del Director de la AEPD, las Transferencias Internacionales de Datos a Canadá y las entidades de EE.UU. adheridas a los principios de Puerto Seguro (Safe Harbor). Amazon y Google, por ejemplo, líderes en servicios Cloud Computing, como sabemos, están adheridos al acuerdo de “puerto seguro”.
Conseguida la autorización del Director de la AEPD, o bien no siendo ésta requerida, habrán de incorporarse al contrato existente entre el cliente y la empresa prestadora del servicio Cloud la serie de cláusulas contractuales que hemos analizado con anterioridad a fin de legitimar la operación.
En definitiva, la contratación de un proveedor de servicios de “Cloud Computing” constituye un supuesto más de los existentes en la empresa de tratamiento de datos de carácter personal por cuenta de terceros y corresponde al Responsable del Fichero, en todo caso, dar cumplimiento a aquellos aspectos de la normativa de protección de datos que le sean exigibles conforme a la legislación española y, en particular, la relativa a la formalización de un contrato por escrito y el cumplimiento de las reglas que rigen las Transferencias Internacionales de Datos, de haberlas, habiéndonos, previamente, informado con exactitud de la ubicación de los servidores que contendrán nuestra información.
Ciertamente, queda un largo camino hasta alcanzar el punto en que los propios proveedores de servicios de Cloud Computing incorporen las exigencias y requisitos en materia de protección de datos a su catálogo de servicios. Mientras tanto, tal como advierte la Agencia Española de Protección de Datos, debe ser la empresa, como Responsable del Fichero y del tratamiento que es, quien se preocupe por garantizar la más absoluta confidencialidad de la información que maneja y el rigor en los encargos de tratamiento que contrate, para ello, deberá ejercer diligentemente su posición de responsable ante los titulares de los datos, deberá conocer y negociar las garantías exigibles en el contrato que le vincule con el prestador del servicio Cloud y dotarse de las medidas necesarias para conocer y auditar que el encargado cumpla con el clausulado pactado.