Ricard Martínez Martínez Presidente de APEP (www.apep.es) Asociación Profesional Española de Privacidad
Definición «Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente». Artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México). Vid. http://martiner.blogs.uv.es/2011/12/23/11/.
Criterios para decidir? La decisión de irse a la nube debe tener en cuenta multitud de aspectos: Económicos. Modelo de gestión. JURÍDICOS
Es la economía estúpido
Aspectos jurídicos Desde el punto de vista de la protección de datos personales
Cuando un responsable de fichero o tratamiento en España contrata servicios de Cloud Computing aplicará los principios y obligaciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Reflexión previa Privacy Impact Assessment Privacy by Design Si la contratación de Cloud Computing afecta a datos personales: Se trata de derechos fundamentales. Deben atenderse necesariamente las cuestiones de cumplimiento normativo. Todo el entorno, sin excepción debe ser privacy compliance.
El proveedor de servicios de Cloud Computing es un encargado del tratamiento? Posición de la AEPD Sesión Anual https://www.agpd.es/portalwebagpd/jornadas/4 _sesion_abierta_2011/index ides idphp.php
El cliente es un responsable del tratamiento. Decide contratar. Decide el tipo de servicio. Decide el proveedor. Ley aplicable: Responsable: Ley Española. Encargado: Nacional: LOPD. UE: lugar del tratamiento (medidas de seguridad) No UE: regulación de las TID.
Régimen general del encargado. De difícil aplicación. Se admiten ciertas modulaciones: Contratos de adhesión: full compliance. Información precisa en casos de subcontratación flexible. Servicios afectados. Niveles de calidad. Actualización de la lista de subencargados. Garantías jurídicamente vinculantes. Cadena de contratación basada en contratos vinculantes conforme a la Ley aplicable. Posibilidad de actuación de la aepd/lopd. Diligencia del responsable. Verificar: Tipología de los servicios y agentes implicados. Oferta de medidas de seguridad. Existencia de alguna auditoría o certificación. Portabilidad. Las instrucciones al encargado : en la práctica se manifiestan en las opciones elegidas por el responsable al contratar. Oferta de medidas de seguridad. LA AUDITORIA. REPORTE DE INCIDENCIAS Y QUIEBRAS DE SEGURIDAD.
Algunas cuestiones a considerar
Principios rectores: diligencia en la elección El responsable del tratamiento deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el Reglamento. Está en condiciones de garantizar la seguridad? Dispone de alguna certificación o emplea alguna métrica que podamos verificar? ISO 27001? Se audita? Y si lo hace, garantiza cuando se audita frente a terceros la protección de mis datos? Exhibe documentación acreditativa y fiable? Hemos realizado un mínimo análisis de riesgos? Se nos ofrece información fiable? Subcontrata? Qué requisitos y obligaciones impone al subcontratista? Informa sobre la ubicación física/territorial de sus activos? Podemos decidir las ubicaciones? Reúne el software los requisitos de la Disp. Ad. Primera? Las aplicaciones son propias o las provee un tercero? puede acceder a datos el tercero? Cómo se contrata? Condiciones generales de la contratación? esta dispuesto a aceptar las exigencias dimanantes de la legislación española? Reúne el contrato las condiciones del artículo. 12 LOPD? Está en condiciones de cumplir con las exigencias normativas que debe garantizar el responsable del fichero? Qué garantías se ofrecen a la terminación del contrato? Se garantiza portabilidad e interoperabilidad? La destrucción es real?
En qué país de la nube se encuentran los datos? Escenarios Los recursos se encuentran en España. Se aplica LOPD cuando: el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento le sea de aplicación al responsable la legislación española en aplicación de normas de Derecho Internacional público el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. Los recursos se encuentran en un EM: disposiciones nacionales si el tratamiento es efectuado por un establecimiento en el EM. Si hay varios establecimientos tienen que cumplir todos. Los recursos se encuentran en territorio del Espacio Económico Europeo: rigen los principios generales del artículo 12 LOPD.
Transferencias internacionales de datos personales Los recursos se encuentran en un tercer país: Con un nivel de protección equiparable (Jersey, Isla de Man, Gernsey, Argentina, Canadá, Suiza, Islas Faroe, Israel, Andorra Uruguay, ). Se aplica el régimen general. Safe Harbour (www.export.gov/safeharbor). Responsable a encargado (contrato Artículo. 12 LOPD FAQ 10 (D200/520/CE) Subencargado: garantías equivalentes.
Sin un nivel de protección equiparable. Amparado por excepciones del art. 34 LOPD. Con autorización previa del Director de la AEPD aportando garantías adecuadas. Cláusulas tipo. Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo BCR s.
Nuevas opciones: Informe 157/2012 Cláusulas contractuales tipo? auditoria independendiente+contrato marco subencargados No compatible con la Decisión sobre cláusulas contractuales tipo responsable/encargado. Son garantías adecuadas desde un punto de vista nacional para TID Posibilidad de uso para encargado UE encargado no UE? Nuevo modelo encargado UE encargado no UE: autorización única. Adaptación cláusulas contractuales tipo. Autorización de condiciones generales para la TID. Deber de contratar con cada responsable en el marco de la autorización.
Garantía de los derechos A.R.C.O. Forman parte del núcleo esencial del derecho a la protección de datos. En ningún caso, las dificultades que puedan derivar del funcionamiento de los sistemas de Cloud Computing pueden justificar la no satisfacción de estos derechos.
Medidas de seguridad Las medidas que se imponen/ofrece el encargado deben ser precisas. Artículo 82. Encargado del tratamiento. 1. ( ) Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.
Especial atención Documentación formal del encargo en el documento de seguridad. Los niveles establecen un mínimo: nada impide un plus de exigencia. Existen elementos realmente críticos: Formación de los usuarios del encargado. Copias de seguridad. Disponibilidad continuidad de negocio. Protección de los accesos a través de redes: cifrado de datos en tránsito/almacenamiento. Protocolos de detección, gestión y respuesta ante incidencias. Trazabilidad, controles de acceso y protección frente accesos indebidos de otros clientes y terceros proveedores. Localización de los recursos. Identificación y autenticación seguras. Auditoria y documentación. Quiebras de seguridad.
Otros aspectos normativos adicionales Investigación penal Potestades de investigación de las autoridades nacionales. Derechos en riesgo: Intimidad. Secreto de las comunicaciones. Libertad de investigación. Propiedad intelectual. Patentes, invenciones, secretos industriales.
Si es una Administración Pública: cumplimiento de esquemas nacionales de seguridad/interoperabilidad.
Administración electrónica
IAAS, PAAS, SAAS:. Protección de datos. Seguridad. Integridad, conservación y autenticidad de los documentos. Autenticidad de la copia. Barreras de acceso al prestador. ENS. Portabilidad. Interoperabilidad. Garantía 24/7 Registros y definición del momento de entrada. Asegurar los derechos del ciudadano. De que actividad administrativa se trata? policial? seguridad del estado? Asegurar la responsabilidad del contratista. Software. Además: Verificación previa en la actuación administrativa automatizada: definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad auditoría del sistema de información y de su código fuente integridad, conservación y autenticidad de los documentos
Conclusiones
Huir de contratos basados en condiciones generales cuando: Cláusulas generales de la contratación sometidas al Derecho del proveedor que no respeten las condiciones legales vigentes. Imposibilidad material de exhibición/auditar al proveedor Desarrollar políticas de análisis de riesgos y Privacy Impact Assement previas a la contratación: Internas. Sobre el proveedor. Jurídicas.
Internas. Es necesario y se puede contratar este tipo de servicio? Es la única alternativa posible? He definido en qué servicios? A qué datos personales afectará? Sobre el proveedor Tengo confianza en el proveedor? Me ofrece garantías adecuadas de seguridad? se trata de medidas homologables con las exigibles en mi país? existe notificación inmediata al responsable de las quiebras de seguridad? Dónde se encuentran sus sistemas? Cuenta con alguna certificación de privacidad? Jurídicas Qué tipo de servicios voy a contratar plataforma, software (SaaS), plataforma (PaaS), infraestructura (IaaS) y como encajan con las previsiones de la Ley 11/2007? Conoce el proveedor las condiciones que se imponen a un encargado del tratamiento? Se ha previsto la subcontratación? Se trata de un país del Espacio económico Europeo o es un país tercero? Existe una transferencia internacional de datos? He evaluado si es un país/países seguro/s? Las condiciones del contrato respetan el Derecho del responsable? Puedo imponer las cláusulas contractuales tipo de la Comisión Europea o se trata de un proceso de contratación estandarizada? Qué facultades de investigación (law enforcement) establece la legislación del proveedor?
Gracias por su atención Ponemos a su disposición las siguientes vías de contacto: Web: www.apep.es Email: contacto@apep.es, administracion@apep.es Twitter: @AsociacionAPEP, @ricardmm