Cada vez más, las empresas (no sólo los particulares) deciden almacenar online información más o menos sensible relacionada con su actividad (por ejemplo, datos de clientes, documentos…) o bien optan por utilizar aplicaciones informáticas de gestión directamente a través de internet. Debido al surgimiento de esta necesidad de gestionar la actividad de la empresa a través de internet, nació el llamado modelo Cloud Computing.
El Cloud Computing es un sistema de gestión informática en el que la distribución de los datos está en la red, almacenándose la información en servidores que a menudo están bajo el control de una tercera empresa prestadora del servicio. El usuario puede acceder a los datos a través de una interfaz o una aplicación, con la posibilidad de compartir recursos con otros usuarios, dejando a un lado la ubicación real de los datos (desconocida para el usuario en mayoría de los casos).
Además, en muchos casos, estos datos se encuentran alojados en servidores que permiten el acceso multi-plataforma (smartphones, tablets, PC…etc.). En cualquier caso, la empresa prestadora del servicio puede llevar a cabo distintas capacidades de control (acceso, modificación y uso) sobre el nivel de recursos utilizado.
Asimismo, se puede acceder a la red desde diferentes dispositivos (PC, móvil, PDA…) y de una forma rápida y aparentemente ilimitada. Existe, por otro lado, una capacidad de control por parte del prestador del servicio sobre el uso y el nivel de recursos utilizado.
Son muchos los que han puesto el grito en el cielo por el uso de estas tecnologías, ya que implica que los datos pueden llegar a caer en manos equivocadas. Por ello, no es de extrañar que algunos Gobiernos –sobre todo después del escándalo de espionaje internacional llevado a cabo por el programa PRISMA de la CIA- prohíban expresamente al funcionariado utilizar este tipo de servicios. Es el caso de Suecia, donde se ha prohibido recientemente el uso de aplicaciones como Google Drive o Gmail a sus funcionarios; una medida que pueden copiar el resto de países europeos, en el caso de que las distintas investigaciones que están llevando a cabo las distintas agencias de protección de datos no lleguen a buen puerto.
¿Cuál es el problema que surge con el Cloud Computing en materia de Protección de Datos?
La empresa que contrata este tipo de servicios es responsable de los ficheros que maneja, por lo que la contratación de un proveedor de servicios de Cloud Computing da lugar a un supuesto de tratamiento de datos por cuenta de terceros, contemplado en la LOPD. De este modo, el prestador de estos servicios adquirirá el carácter de Encargado de Tratamiento, y en virtud de esta figura, deberá cumplir todas las obligaciones del artículo 12 de la LOPD y a partir del 20 de la RLOPD
Esto supone que habrá de suscribirse a un Contrato de Tratamiento de Datos entre la empresa cliente y el proveedor de Cloud Computing que incorpore las cláusulas que establezcan las condiciones de acceso a los datos, medidas que deberá implementar el proveedor de servicios, condiciones de devolución de los datos una vez cumplido el servicio y las circunstancias de subcontratación con terceros, que salvo autorización expresa del cliente estarán prohibidas.
Además, en algunos servicios el intercambio de datos puede ser considerado una Transferencia Internacional de Datos (TID), en el caso en el que el intercambio se produzca con un país que fuera del Espacio Económico Europeo. Estas transferencias deberán estar autorizadas directamente por el director de la Agencia de Protección de Datos, aunque cuenta con varias excepciones, como el hecho de que el país de destino sea un miembro de la Unión Europea o un país que la Comisión Europea reconozca que cumple el nivel de seguridad exigido en cumplimiento de la protección de datos. No cumplir con estos requisitos pueden suponer multas que ronden entre los 300.000 euros o los 600.000 euros, algo q tener muy en cuenta a la hora de utilizar una aplicación de cloud computing.