Datos personales y contratación de servicios ‘cloud’: riesgos y oportunidades

El pasado 27 de septiembre la Comisión Europea hizo publica una comunicación relacionada con la estrategia europea de “cloud computing”, bajo el titulo de “Unleashing the Potential of Cloud Computing in Europe” http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud.pdf.

Obviamente el documento pone un especial énfasis en los beneficios de carácter económico vinculados al aprovisionamiento de servicios de procesamiento de la información basados en el paradigma del “cloud compunting”, pero también alerta sobre aspectos que deben ser mejorados para garantizar un desarrollo rápido, y sin obstáculos, de este tipo de servicios, y sobretodo destaca la necesidad de generar confianza en su empleo.

El documento identifica a las condiciones y términos que figuran en los contratos de servicios de “cloud”, como una de las cuestiones que deben ser solucionadas de manera inmediata.

La decisión de trasladar servicios a la nube debe realizarse por aproximaciones sucesivas, de las que una componente importante va a ser llevar a cabo un mínimo análisis de riesgos.

En el contexto de los servicios de “cloud computing” se produce lo que podríamos denominar “un daño colateral”: la pérdida de control, que como riesgo debemos minimizar todo lo posible.

Una perdida de control amplificada por la general falta de transparencia en las condiciones de los servicios “cloud”, lo que dificultará llevar a cabo un análisis de riesgos apropiado, y que a su vez complicará el cumplimiento de determinadas obligaciones, en especial las relacionadas con el tratamiento de datos de carácter personal.

Esa perdida de control se materializa en 3 dimensiones:

a)      Perdemos el control directo de los datos: cuestión de especial relevancia en el caso de los datos de carácter personal

b)      Perdemos el control directo de los procesos de tecnologías de la información: el rendimiento y disponibilidad de las tecnologías de la información, y su seguridad técnica pasa a depender de terceros, y todo ello con dependencia casi absoluta de las telecomunicaciones

c)       Perdemos el control en relación a la capacidad contractual: salvo contadas excepciones no podremos negociar los términos y condiciones contractuales

Me voy a centrar en esta última dimensión, y partiendo de la base del escenario más exigente, es decir, una situación en que los datos que trasladamos a la nube son de tipo personal, ya que es donde van a concurrir la mayor parte de complejidades y obligaciones.

Hay 6 aspectos a tener en cuenta desde una perspectiva de legislación Española y Europea de protección de datos personales:

1)      PRIMERO. El cliente de los servicios de “cloud computing” sigue siendo el responsable del tratamiento, asumiendo el proveedor de servicios de “cloud computing” el rol de encargado de tratamiento.

2)      SEGUNDO. Esa relación con el encargado de tratamiento debe formalizarse contractualmente; el contenido de los términos y condiciones contractuales debe cumplir con unos mínimos previstos en la vigente legislación de protección de datos (art. 12 LOPD):

• El encargado tratará los datos siguiendo las instrucciones del responsable
• No podrá utilizar los datos para finalidades diferentes a las que originan el contrato de encargado de tratamiento
• No podrá comunicar a terceros los datos objeto del encargo, ni tan solo para su conservación
• Se indicará el nivel de medidas de seguridad que debe implantar
• Deben incluirse previsiones para el momento en que cese la relación contractual
• Y conviene identificar todo aquello que pueda ser objeto de subcontratación, y si es posible la identificación de las empresas subcontratadas

3)      TERCERO. El responsable del tratamiento viene obligado a velar porque el encargado del tratamiento cumpla con la regulación (art. 20.2 RLOPD), en especial con las obligaciones en materia de seguridad de la información, por ello deberá prever de que manera auditará la eficacia de las medidas de seguridad implantadas por el encargado del tratamiento.

4)      CUARTO. El responsable del tratamiento deberá conocer la ubicación o ubicaciones geográficas de los centros de procesos de datos, ya que este debe cumplir con obligaciones derivadas de posibles transferencias internacionales de datos personales: a Europa, a un tercer país con nivel adecuado de protección, adhesiones al acuerdo Safe-Harbor, autorización autoridad de protección de datos, etc.

Existe una decisión de la Comisión Europeade 5/2/2010 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a encargados de tratamiento establecidos en terceros países http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:EN:PDF.

5)      QUINTO. El responsable del tratamiento deberá conocer y, en su caso, autorizar posibles subcontrataciones que afecten al tratamiento de los datos personales objeto del contrato principal.

6)      SEXTO. En el contrato se deberán estipular pactos relacionados con la finalización de la relación contractual, por tanto deberán regularse cuestiones como: la devolución de los datos, la destrucción de los mismos (borrado seguro) o su portabilidad a otro proveedor (interoperabilidad), en definitiva debe evitarse quedar “cautivo” del proveedor (“vendor lock-in”).

El contrato también deberá incluir cuestiones tales como:

• El tipo de nube (pública, privada, comunidad o híbrida)
• La modalidad de servicios contratados (PAAS, IAAS, SAAS) y el detalle pertinente en cada caso
• Los acuerdos de nivel de servicio

Las autoridades de protección de datos ya se han pronunciado sobre situaciones concretas respecto de los contratos que habitualmente proponen los grandes proveedores de servicios basados en la nube, como por ejemplo la  “Danish DataProtection Agency” http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution/ o la Autoridad Catalana de Protección de datos http://www.apd.cat/media/dictamen/ca_476.pdf .

La conclusión a la que llegan es que los contratos tipo propuestos por el proveedor no son adecuados para formalizar un encargo de tratamiento conforme a la legislación de protección de datos:

–       Se detectan serias dificultades para conocer cuales son exactamente los términos y condiciones aplicables a la contratación.

Circunstancia agravada por el hecho de que se prevé contractualmente que los términos y condiciones del contrato podrán ser modificados unilateralmente por el proveedor de los servicios.

–       Alegando motivos de seguridad no se informa sobre la localización física de los centros de procesos de datos.

–       Se establecen condiciones insuficientes en relación a las subcontrataciones: referencias genéricas al grupo de empresas y subcontratados, sin consentimiento, ni información alguna.

–       No se detallan suficientemente las cuestiones relacionadas con las medidas de seguridad.

–       No hay previsiones respecto del control que debe ejercer el responsable del tratamiento: obligación que tiene de velar por el cumplimiento

–       No se excluyen otros posibles tratamientos, diferentes a las finalidades para los cuales fueron recabados los datos, o para la propia finalidad del contrato; bien al contrario, se habla de indexar contenidos para otras funciones, relacionadas inicialmente con la mejora de la experiencia del usuario.

Ciertamente las prácticas contractuales más comunes del mercado de “cloud” se ciñen a la propuesta de cláusulas estándar por parte del proveedor, pero tal y como expresa una opinión del Grupo de trabajo del art. 29 (Opinión 1/2010) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf:

“el desequilibrio en cuanto al poder contractual entre un pequeño responsable del tratamiento y un gran proveedor de servicios no debería considerarse una justificación para que el primero acepte cláusulas y condiciones de contratos que no se ajusten a la legislación en materia de protección de datos.”

Por todo ello debemos hacernos la pregunta de si:

 ¿Estamos dispuestos a colocar datos y procesos de negocio en un entorno para el que no podemos negociar los compromisos contractuales?

La comunicación a que he hecho referencia al inicio se plantea como acción clave la de abordar a corto y medio plazo la necesidad de disponer de unos “safe and fair contract terms and conditions” para servicios “cloud”, vinculando esta cuestión a un futuro desarrollo de una “Common European Sales Law”, a partir de la propuesta de regulación publicada en octubre de 2011 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0635:FIN:en:PDF.

En cualquier caso, hasta que esos cambios se materialicen, una primera prevención será buscar un proveedor de “cloud” con el que podamos negociar/discutir mínimamente los términos del contrato, de manera que al menos el punto de partida en el uso de servicios “cloud” sea el correcto.

Y si conseguimos encontrar ese proveedor entonces nos podemos plantear toda una serie de cuestiones a negociar:

a)      Que los datos más sensibles se sitúen en una nube privada

b)      Que los datos permanezcan cifrados en tanto no sean objeto de procesamiento

c)       Poner límites geográficos a la localización física de los datos: por ejemplo no fuera de Europa

d)      Penalizaciones por incumplimiento de los acuerdos de nivel de servicio

e)      Que quede claro que los datos son siempre del cliente

f)       De que manera se garantiza la continuidad de los servicios en caso de desastre o contingencias que afecten al servicio

g)      Detalle de las medidas de seguridad y acceso a su verificación

h)      Que los términos y condiciones del contrato no podrán ser modificados unilateralmente

i)        etc…

Para acabar añadir que en la comunicación de 27 de septiembre, se parte de la base de que el actual marco de regulación del derecho a la protección de datos de carácter personal supone una barrera para el desarrollo de los servicios basados en la nube, por lo que la Comisión pide a Consejo y Parlamento que trabajen con rapidez en la adopción de la propuesta de reglamento Europeo de protección de datos que fue publicada en enero de 2012, a fin de disponer de esa regulación en el 2013.

Autor: Ramón Miralles, coordinador de Auditoria y Seguridad de la Información de la Autoridad Catalana de Protección de Datos