Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube"

Juana Sosa Cano
hace 8 años
Vistas:

Asociación Profesional Española de Privacidad (APEP) Profesor de Derecho

1 Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube Ricard Martínez Martínez Presidente la Asociación Profesional Española de Privacidad (APEP) Profesor de Derecho Constitucional de la Universitat de València Zona para Logotipo organización (es)

Escenario Cloud: «modelo de prestación externa (interna) de servicios de computación bajo demanda que comporta el suministro ya sea de la plataforma (PAAS), las infraestructuras/almacenamiento

2 Escenario Cloud: «modelo de prestación externa (interna) de servicios de computación bajo demanda que comporta el suministro ya sea de la plataforma (PAAS), las infraestructuras/almacenamiento (IAAS), o el software (SAAS) que se distribuyen de modo flexible mediante procedimientos de virtualización en recursos asignados dinámicamente por el proveedor bajo su exclusivo control» Nubes: públicas, privadas, comunitarias, hibridas. Compañías y operadores de mayor tamaño : Se mueven hacia el uso de servicios de cloud computing de bajo riesgo. PYME: Usualmente siguen un modelo de decisión centrado específicamente en análisis de costes. No disponen de recursos para realizar evaluaciones de riesgo 2

por el proveedor bajo su exclusivo control» Nubes: públicas, privadas, comunitarias, hibridas.

3 Criterios para decidir? La decisión de irse a la nube debe tener en cuenta multitud de aspectos: Técnicos. Económicos. Modelo de gestión. JURÍDICOS. Necesidad de desarrollar un marco legal específico. Existen normas susceptibles de ser aplicadas a los responsables y a los encargados de ficheros. 3

Técnicos. Económicos. Modelo de gestión. JURÍDICOS.

4 Desde el punto de vista de la protección de datos personales Los datos de carácter personal procesados utilizando servicios de cloud computing han de serlo de acuerdo al marco legal vigente para cada responsable. Deben ser gestionados de acuerdo a las especificaciones técnicas del servicio, que pueden o no haber tenido en cuenta dicho marco legal. Diversidad en la localización geográfica. Múltiples usuarios compartiendo recursos. La realidad del cloud dificulta al cliente la posibilidad de demostrar el cumplimiento efectivo del marco legal. Cláusulas generales de la contratación sometidas al Derecho del proveedor. Situación de inferioridad en la negociación. Imposibilidad material de auditar al proveedor. 4

Diversidad en la localización geográfica. Múltiples usuarios compartiendo recursos.

5 Obligaciones de los responsables de ficheros Desarrollar políticas de análisis de riesgos y Privacy Impact Assement previas a la contratación: Internas. Sobre el proveedor. Jurídicas. Internas. Es necesario y se puede contratar este tipo de servicio? He definido en qué servicios? A qué datos personales afectará? Es la única alternativa posible? 5

Sobre el proveedor. Jurídicas. Internas.

6 Sobre el proveedor Tengo confianza en el proveedor? Me ofrece garantías adecuadas de seguridad? se trata de medidas homologables con las exigibles en mi país? existe notificación inmediata al responsable de las quiebras de seguridad? Dónde se encuentran sus sistemas? Cuenta con alguna certificación de privacidad? Qué tipo de servicios voy a contratar plataforma, software (SaaS), plataforma (PaaS), infraestructura (IaaS)? Hasta qué punto se garantiza la inaccesibilidad de mis datos para otros clientes? 6

existe notificación inmediata al responsable de las quiebras de seguridad? Dónde se encuentran sus sistemas?

7 Jurídicas Conoce el proveedor las condiciones que se imponen a un encargado del tratamiento? Se ha previsto la subcontratación? Se trata de un país del Espacio económico Europeo o es un país tercero? Existe una transferencia internacional de datos? He evaluado si es un país/paises seguro/s? Las condiciones del contrato respetan el Derecho del responsable? Puedo imponer las cláusulas contractuales tipo de la Comisión Europea o se trata de un proceso de contratación estandarizada? Qué facultades de investigación (law enforcement) establece la legislación del proveedor? 7

He evaluado si es un país/paises seguro/s? Las condiciones del contrato respetan el Derecho del responsable?

8 Un actuación proactiva Las autoridades nacionales pueden actuar sobre la demanda: Proporcionando información, formación y guía. Proporcionando listas de control o comprobación que deban ser verificadas por el responsable antes de elegir a su proveedor. Desarrollando cláusulas contractuales adecuadas a este tipo de servicio. Promoviendo la autorregulación responsable en el sector. Debe complementarse con su acción en el plano internacional: Favoreciendo la adopción de estándares comunes. Favoreciendo la prestación servicios por proveedores europeos. Apoyando esfuerzos de supervisión. Promoviendo estudios en las principales organizaciones internacionales. Promoviendo una adecuada regulación de las TID 8

Desarrollando cláusulas contractuales adecuadas a este tipo de servicio. Promoviendo la autorregulación responsable en el sector.

9 Fin de la presentación Muchas gracias 9

Documentos relacionados

A qué huelen las nubes?: seguridad y privacidad del cloud computing

A qué huelen las nubes?: seguridad y privacidad del cloud computing Fundación Dédalo. VI Semana de Seguridad Informática: Seguridad en la nube Tudela, 27 de marzo de 2012 Pablo Pérez San-José Gerente del