Inicio » Artículos destacados » Cloud computing y protección de datos de carácter personal
Cloud computing y protección de datos de carácter personal

Cloud computing y protección de datos de carácter personal

Por Daniel Urbán. Abogado de Cuatrecasas, Gonçalves Pereira

 

Una de las principales características de la sociedad actual reside en el rol cada vez más predominante que están adquiriendo las nuevas tecnologías. No en vano, el cambio radical que han provocado en los procesos industriales ha conllevado que se empiece a hablar de la cuarta revolución industrial, la cual se sustenta principalmente en las TIC (tecnologías de la información y comunicación). En este contexto, el cloud computing o computación en nube ha jugado un papel principal.

 

El cloud computing se caracteriza por permitir el uso a distancia y bajo demanda de servicios de hardware, software, telecomunicaciones y almacenamiento. Las ventajas de la nube derivan precisamente de la posibilidad de usar los servicios mencionados cuando sean necesarios y durante el tiempo que sean precisos. Esto reporta mejoras económicas y organizativas para clientes con necesidades puntuales o variaciones importantes en el uso de estos servicios.

 

Pero ¿qué implicaciones tiene el cloud computing desde el punto de vista la normativa sobre protección de datos de carácter personal? La verdad es que si no se observan determinadas medidas, se pueden generar situaciones conflictivas. Y no sólo por el eventual acceso a datos personales por parte del proveedor, sino también y especialmente, por el propio funcionamiento de la nube.

 

Como se ha señalado, el acceso a los servicios se produce a través de internet, de tal suerte que el software o hardware puede estar ubicado en terceros países.  Esta circunstancia obliga a considerar distintos aspectos. Por un lado, el proveedor de cloud computing actúa como un encargado del tratamiento, pues para prestar los servicios necesita acceso a los datos personales incluidos en la base de datos de su cliente. Por tanto, el contrato que se celebre con el proveedor de servicios se debe incluir una serie de obligaciones, que vienen predeterminadas por el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

 

Estas obligaciones consisten fundamentalmente en cumplir la normativa española sobre datos personales con independencia del país o países desde los que se vayan a prestar los servicios; Tratar los datos según las finalidades del contrato y las instrucciones que se puedan dar a tal efecto; No comunicar los datos a terceros (ni para su conservación); Implementar las medidas de seguridad necesarias en atención a la sensibilidad de los datos a tratar; y, por último, destruir o devolver los datos personales y los soportes o documentos donde estén recogidos cuando termine el contrato.

 

En segundo lugar, como hemos visto, los datos personales se pueden acabar enviando y tratando desde el extranjero. Consecuentemente, se requerirá la autorización previa del director de la AEPD para efectuar toda transferencia de datos personales que se produzca (i) fuera del Espacio Económico Europeo (formado por los Estados de la Unión Europea más Islandia, Liechtenstein y Noruega); (ii) a un Estado que no posea un nivel de protección similar al europeo (los que sí la poseen son: Andorra, Argentina, Canadá, Islas Feroe, Guernesey, Israel, Jersey, Isla de Man, Nueva Zelanda, Suiza y Uruguay); o (iii) a una sociedad que no haya sido homologada bajo el programa “Puerto Seguro”.

 

La falta de obtención de autorización previa del director de la AEPD puede considerarse, según el caso, como una infracción muy grave, sancionada con multas comprendidas entre los 300.001 y los 600.000 euros. Por tanto, será esencial que en el contrato se delimite, en su caso, los países desde los que se podrá tratar los datos personales.

 

Sólo con un correcto desarrollo de las anteriores cuestiones a nivel contractual, así como una buena elección del proveedor de servicios de cloud computing, que pueda ofrecer garantías de cumplir con la normativa española, podremos minimizar el riesgo que este tipo de servicios generan desde una perspectiva de la protección de datos.

 

Al margen quedan otras problemáticas como el almacenamiento de información secreta o sensible en la nube, cuya confidencialidad puede verse comprometida por las obligaciones que el proveedor deba cumplir de conformidad con la normativa que sea de aplicación en las jurisdicciones en las que esté establecido.

 

 

El resto del contenido es exclusivo para suscriptores

Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí .

Contenidos relacionados

Ver Todos >>

Los bancos deberán fijar el sistema de reclamación extrajudicial de las cláusulas suelo antes del 21 de febrero

Los bancos deberán fijar el sistema de reclamación extrajudicial de las cláusulas suelo antes del 21 de febrero

Real Decreto-Ley 1/2017 de medidas urgentes de protección de consumidores en materia de cláusulas suelo Por Eduardo García Sánchez. Socio Área Civil de AGM Abogados El pasado 21 de diciembre, el Tribunal de Justicia la Unión Europea (UE), y en contra de lo mantenido, a modo salomónico, por nuestro Tribunal Supremo en su resolución de 9 de mayo de 2013, ... Leer Más »

El incumplimiento contractual en la compraventa internacional

El incumplimiento contractual en la compraventa internacional

Sergio Aguilar Lobato. Abogado. Asesoría jurídica del Grupo Solarig Álvaro Palés Arredonda. Abogado procesalista en Ramón y Cajal Abogados En la práctica jurídica anudada a las operaciones transnacionales, son numerosas las ocasiones en las que surgen incidencias motivadas por el incumplimiento de una de las partes contratantes. En el presente artículo se analizará el catálogo de acciones que puede ejercitar ... Leer Más »

Liquidación y finiquito: cómo debe calcularse

Liquidación y finiquito: cómo debe calcularse

Por Manuel J. Fernández graduado social, docente y colaborador jurídico-laboral externo El artículo 49.2 ET, al hacer referencia a la extinción de los contratos, hace una mención sobre el finiquito diciendo que: «el empresario, con ocasión de la extinción del contrato, al comunicar a los trabajadores la denuncia, o, en su caso, el preaviso de la extinción del mismo, deberá acompañar una propuesta ... Leer Más »

El Sistema de Suministro Inmediato de Información, ¿una ventaja o un inconveniente?

El Sistema de Suministro Inmediato de Información, ¿una ventaja o un inconveniente?

Por Laura Vicente, abogada del Departamento de Derecho Fiscal de Ceca Magán Abogados El Real Decreto 596/2016, de 6 de diciembre, modifica el Reglamento del IVA, el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y el Reglamento por el que se regulan las obligaciones de facturación El sistema de gestión del Impuesto sobre el ... Leer Más »

Análisis de las nuevas limitaciones al aplazamiento y fraccionamiento del pago de las deudas tributarias

Análisis de las nuevas limitaciones al aplazamiento y fraccionamiento del pago de las deudas tributarias

Por Nuria Nicolau, Socia de Fiscal de Cuatrecasas, y Daniel Cuyás, Abogado de Fiscal de Cuatrecasas Deudas tributarias inaplazables Aplazamiento en los supuestos de estimación parcial Alcance del aplazamiento Obligado a realizar pagos fraccionados del Impuesto sobre Sociedades Recientemente se ha aprobado el Real Decreto-ley 3/2016, de 2 diciembre, que ha introducido importantes novedades en materia tributaria. En el presente ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon