GUA

clientesque
contraten servicios
de
AT&T

para

Cloud

C omputing

para

clientes que
de

GUA

AT&T

contraten servicios

Cloud

C omputing

AGENCIA ESPAOLA DE PROTECCIN DE DATOS-2013

 nd i ce
5 6 6 7 7 7 7 8 8 8 8 9 9 9 10 10 11 QU ES CLOUD COMPUTING? ACTORES EN EL MODELO DE CLOUD COMPUTING TIPOS DE CLOUD COMPUTING Nube pblica Nube privada Otros modelos MODALIDADES DE SERVICIO Software como servicio Infraestructura como servicio Plataforma como servicio PORTABILIDAD DE LA INFORMACIN LOCALIZACIN DEL PROCESO Y DE LOS DATOS Subcontratacin Localizacin Transparencia LAS GARANTAS CONTRACTUALES RIESGOS DE LA COMPUTACIN EN NUBE

11 Falta de transparencia 11 Falta de control 12 UNA ESTRATEGIA PARA EL CLIENTE DE SERVICIOS DE COMPUTACIN EN NUBE

12 Evaluar los tratamientos y el nivel de Proteccin de Datos 12 Verificar las condiciones en que se presta el servicio 13 13 13 14 14 15 LO QUE DEBO CONOCER PARA LA CONTRATACIN DE SERVICIOS DE CLOUD COMPUTING 1.- Qu debo analizar y tener en cuenta antes de contratar servicios de cloud computing? 2.- Desde la perspectiva de la normativa de proteccin de datos, cul es mi papel como cliente de un servicio de cloud? 3.- Cul es la legislacin aplicable? 4.- Cules son mis obligaciones como cliente? 5.- Dnde pueden estar ubicados los datos personales? Es relevante su ubicacin?

 15 16 16 17 17 18 18 18 18 19 20 22 22

6.- Qu garantas se consideran adecuadas para las transferencias internacionales de datos? 7.- Qu medidas de seguridad son exigibles? 8.- Cmo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad? 9.- Qu compromisos de confidencialidad de los datos personales debo exigir? 10.- Cmo garantizo que puedo recuperar los datos personales de los que soy responsable (portabilidad)? 11.- Cmo puedo asegurarme de que el proveedor de cloud no conserva los datos personales si se extingue el contrato? 12.- Cmo puedo garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin (derechos ARCO)? EL CLOUD COMPUTING EN LAS ADMINISTRACIONES PBLICAS Qu singularidades presenta el cloud computing en las Administraciones Pblicas? Qu aspectos deben tenerse en cuenta al contratar servicios de cloud computing? Qu elementos de la seguridad cobran especial relevancia en un entorno cloud? Qu requisitos son exigibles en materia de portabilidad e interoperabilidad? Glosario

GUA PARA CLIENTES QUE CONTRATEN SERVICIOS DE CLOUD COMPUTING

AT&T

QU ES CLOUD COMPUTING?
El cloud computing o computacin en nube es una nueva forma de prestacin de los servicios de tratamiento de la informacin, vlida tanto para una empresa como para un particular y, tambin, para la Administracin Pblica. Una solucin cloud computing permite al usuario optimizar la asignacin y el coste de los recursos asociados a sus necesidades de tratamiento de informacin. El usuario no tiene necesidad de realizar inversiones en infraestructura sino que utiliza la que pone a su disposicin el prestador del servicio, garantizando que no se generan situaciones de falta o exceso de recursos, as como el sobrecoste asociado a dichas situaciones. En un entorno de cloud computing la gestin de la informacin est de forma virtual en manos del cliente que contrata los servicios de la nube, que la trata a travs de Internet accediendo a soluciones de bases de datos, correo electrnico, nminas o gestin de recursos humanos de acuerdo a sus necesidades. En funcin del modelo utilizado, los datos pueden no estar realmente en manos del contratista, toda vez que la propiedad, el mantenimiento y gestin del soporte fsico de la informacin, los procesos y las comunicaciones pueden encontrarse en manos de terceros. El proveedor del servicio puede encontrarse en, prcticamente, cualquier lugar del mundo y su objetivo ltimo ser proporcionar los servicios citados optimizando sus propios recursos a travs de, por ejemplo, prcticas de deslocalizacin, comparticin de recursos y movilidad o realizando subcontrataciones adicionales.

T&TA

De esta forma, el cloud computing representa una nueva forma de utilizar las tecnologas de la informacin y las comunicaciones, que se basa en emplear tcnicas ya existentes de una forma innovadora y, sobre todo, a una nueva escala. Esto ltimo es lo que la hace realmente distinta, ya que permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicaciones que se encuentran distribuidos geogrficamente y a los que se accede a travs de redes pblicas, de forma dinmica, cuando se necesita, mientras se necesita y abonando una tarifa (cuando no es gratuita) sobre lo que se consume; es decir, proporcionando a sus clientes un servicio de tecnologas de informacin bajo demanda. Como consecuencia de lo anterior, el mismo contratista puede desconocer la localizacin precisa de sus datos y no disponer del control directo de acceso a los mismos, de su borrado y de su portabilidad, ya que la informacin no est fsicamente en su poder aunque, si esa informacin contiene datos de carcter personal, s est bajo su responsabilidad desde el punto de vista de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD).

ACTORES EN EL MODELO DE CLOUD COMPUTING

Podemos decir que se estn utilizando servicios de cloud computing cuando encontramos empresas, entidades, departamentos, etc., a los que llamaremos usuarios o clientes, que para implementar sus procesos de tratamiento de informacin comparten los mismos recursos a travs de la red; recursos proporcionados por una entidad distinta, llamada proveedor de servicios de cloud computing o proveedor de la nube. Aparte de clientes y proveedores, existen otros actores en el mundo del cloud computing. Entre ellos destacan los socios o partners de los proveedores de cloud. Estos crean, ofrecen y soportan servicios adicionales en la nube que venden al usuario final como licencias de uso, por ejemplo, creando una aplicacin de marketing que se ejecuta en la nube a partir de servicios ms bsicos de la misma. Los partners se sitan entre el cliente y el proveedor de la nube, pudiendo formalizar su relacin con este ltimo con distintas figuras contractuales (reseller, vendedor independiente, etc).

TIPOS DE CLOUD COMPUTING

No todos los servicios y proveedores de cloud computing son iguales, ni lo son las posibles relaciones que se establecen entre clientes y proveedores. Las nubes se pueden clasificar de muchas formas atendiendo a varios criterios y lo que ms interesa, desde el punto de vista de la normativa

T&TA

espaola de proteccin de datos, es cmo afectan dichas modalidades de implementacin al tratamiento de datos de carcter personal.
Nube pblica

Hablamos de un servicio de Nube Pblica cuando el proveedor de servicios de cloud proporciona sus recursos de forma abierta a entidades heterogneas, sin ms relacin entre s que haber cerrado un contrato con el mismo proveedor de servicio. Existen diversas y numerosas soluciones en Nube Pblica y prestan sus servicios desde particulares a grandes corporaciones, ya que cualquiera puede contratar con ellos.
Nube privada

En el otro extremo podemos hablar de Nube Privada, que la encontramos cuando una entidad realiza la gestin y administracin de sus servicios en la nube para las partes que la forman, sin que en la misma puedan participar entidades externas y manteniendo el control sobre ella. Una Nube Privada no necesariamente se implementa por la misma entidad que la utiliza, sino que puede contratarse a un tercero que actuar bajo su supervisin y en funcin de sus necesidades. Las entidades que optan por las Nubes Privadas son aquellas que son complejas y necesitan centralizar los recursos informticos y, a la vez, ofrecer flexibilidad en la disponibilidad de los mismos, por ejemplo, administraciones pblicas y grandes corporaciones, aunque hay ejemplos de Nubes Privadas implementadas en entidades de enseanza.
Otros modelos

Entre ambos modelos se encuentran soluciones intermedias que tomarn distintos nombres, como pueden ser las Nubes Hbridas, en las que determinados servicios se ofrecen de forma pblica y otros de forma privada; las Nubes Comunitarias, cuando dichos servicios son compartidos en una comunidad cerrada; o las Nubes Privadas Virtuales, cuando sobre Nubes Pblicas se implementan garantas adicionales de seguridad.

MODALIDADES DE SERVICIO
Los proveedores de la nube proporcionan acceso a recursos informticos a travs de la red, y ofrecen una serie de servicios adicionales de valor aadido que acercarn la oferta del proveedor a las necesidades de su cliente. En funcin de lo completo que sea ese valor aadido podemos decir que tenemos una solucin de Infraestructura como Servicio, Plataforma como Servicio o Software

T&TA

como Servicio. Esta divisin no puede considerarse rgida, ya que hay proveedores que proporcionan soluciones mixtas en las que se combinan caractersticas de todas ellas.
Software como servicio

Podemos hablar de una Nube de Software (modelo de servicio Software as a Service o SaaS), cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa: una aplicacin de contabilidad, de correo electrnico, un worlkflow, un programa para la gestin documental de su empresa, etc.
Infraestructura como servicio

Si el valor aadido es nulo, se puede hablar de una Nube de infraestructura (IaaS). En ese caso el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa prcticamente desde cero. Tal vez se pueda decir que ste es el modelo ms primitivo de nube, que se inici con los sitios de Internet que proporcionaban capacidad de almacenamiento masivo a travs de la red y los servidores de alojamiento web.
Plataforma como servicio

Entre estas dos aproximaciones se pueden encontrar otras intermedias llamadas PaaS (Plataforma como Servicio), en las que se proporcionan utilidades para construir aplicaciones, como bases de datos o entornos de programacin sobre las que el usuario puede desarrollar sus propias soluciones.

PORTABILIDAD DE LA INFORMACIN
Las soluciones que ofrecen los proveedores de cloud computing pueden clasificarse como abiertas a la portabilidad o cerradas a la misma. Se podr considerar una solucin abierta a la portabilidad cuanto mayor sea la facilidad de un usuario para transferir todos sus datos y aplicaciones desde un proveedor de cloud a otro (o a los sistemas propiedad del cliente), garantizando la disponibilidad de los datos y la continuidad del servicio. Hay que tener en cuenta que el fin de la relacin con el proveedor de cloud puede darse no slo en el caso de rescisin de contrato por parte del cliente sino por otras circunstancias ajenas al mismo, como podra ser el fin de la prestacin de algn tipo de servicio por parte del proveedor, el cambio de su poltica comercial o del marco regulatorio. Es, entonces, un aspecto importante que

T&TA

debe tenerse en cuenta a la hora de utilizar servicios de cloud, sobre todo pblicos, pues cuanto ms cerrado a la portabilidad sea el proveedor mayor ser la dificultad, o incluso imposibilidad, de poder realizar esa transferencia a un coste razonable que haga que, de facto, el cliente est cautivo del proveedor.

LOCALIZACIN DEL PROCESO Y DE LOS DATOS

El proveedor de cloud computing, a la hora de implementar los servicios al usuario final, puede ser el prestador nico de los mismos cuando todos los recursos para proporcionarlos pertenecen al propio proveedor. Es decir, dispone de toda la infraestructura necesaria, que administra directamente, y no subcontrata a terceros en funcin de la distinta carga de trabajo que tenga.
Subcontratacin

Por el contrario, puede no tratarse de un prestador final cuando el servicio que ofrece directamente al usuario se construye sobre la subcontratacin a terceros de elementos necesarios para implementarlos (hardware, almacenamiento, comunicaciones, etc.), como es el caso de los partners. A su vez, los subcontratistas pueden subcontratar de nuevo parte del servicio que proporcionan al prestador final a terceras y sucesivas compaas. Este es un modelo de cadena de subcontrataciones que en teora podra no tener fin, y cuyo objeto es redimensionar continuamente los recursos de la nube de forma dinmica y en funcin de las condiciones del mercado.
Localizacin

A la hora de decantarse por la utilizacin de un servicio de cloud computing, hay otros condicionantes que hay que tener en cuenta desde el punto de vista de los derechos de los ciudadanos y del ejercicio de las responsabilidades del cliente de dichos servicios. Es importante identificar qu proveedores de cloud estn localizados dentro del Espacio Econmico Europeo o en pases que de una u otra forma garanticen un nivel adecuado de proteccin de los datos de carcter personal. Esta localizacin afecta no slo a la sede del proveedor de cloud, sino tambin a la localizacin de cada uno de los recursos fsicos que emplea para implementar el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la localizacin de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre.

T&TA

Transparencia

En relacin al control de la localizacin de los datos de un usuario, un servicio de cloud puede ser auditable o transparente (en el sentido de la palabra inglesa accountable) cuando el contratista puede reclamar informacin precisa de dnde, cundo y quin ha almacenado o procesado sus datos (dentro de los recursos propios del proveedor o de la cadena de subcontrataciones), y en qu condiciones de seguridad se ha producido. En otro caso, nos encontraremos con un servicio opaco al usuario, en el que ste no tiene opcin alguna de obtener informacin precisa de qu ha ocurrido con sus datos ni herramientas para auditar el servicio que se le est proporcionando y en el que su propia informacin escapa a su control.

LAS GARANTAS CONTRACTUALES

La contratacin de servicios de cloud computing se realizar a travs de un contrato de prestacin de servicios. Resulta imprescindible que ese contrato incorpore entre sus clusulas las garantas a las que obliga la Ley Orgnica de Proteccin de Datos. Atendiendo a la relacin contractual establecida entre el cliente y el proveedor de la nube, tambin este contrato se puede clasificar como negociado o de adhesin. Podemos decir que un contrato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad para fijar las condiciones de contratacin en funcin del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratacin, la localizacin de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuacin a la regulacin espaola y a las restricciones que esta regulacin implica. En la mayora de los casos, sin embargo, lo que se oferta son contratos de adhesin, constituidos por clusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opcin para negociar sus trminos. Este ltimo caso es el ms comn, sobre todo cuando se encuentra el cliente en una situacin de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximir, a ninguno de los dos, de las responsabilidades que determina la LOPD.

T&TA

10

RIESGOS DE LA COMPUTACIN EN NUBE

El uso de servicios de computacin en nube ofrece un gran nmero de ventajas pero presenta tambin, por sus caractersticas, unos riesgos especficos que deben afrontarse con una adecuada eleccin del prestador. Para ello debe analizarse que las condiciones de prestacin tengan en cuenta los elementos que permitan que el tratamiento de datos se realice sin merma de las garantas que le son aplicables. Podemos agrupar los riesgos en dos grandes categoras: falta de transparencia sobre las condiciones en las que se presta el servicio y falta de control del responsable sobre el uso y gestin de los datos personales por parte de los agentes implicados en el servicio.
Falta de transparencia

Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qu, quin, cmo y dnde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestacin del servicio. Si este ltimo no da una informacin clara, precisa y completa sobre todos los elementos inherentes a la prestacin, la decisin adoptada por el responsable no podr tener en consideracin de forma adecuada requisitos bsicos como la ubicacin de los datos, la existencia de subencargados, los controles de acceso a la informacin o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.
Falta de control

Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte tambin de la ausencia de transparencia en la informacin, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicacin de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato vlido e interoperable, los obstculos a una gestin efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas tcnicas y organizativas.

T&TA

11

UNA ESTRATEGIA PARA EL CLIENTE DE SERVICIOS DE COMPUTACIN EN NUBE

Frente a los riesgos descritos, el responsable del tratamiento p.ej. empresas o administraciones que pretenda incorporar todo o parte del tratamiento de datos a servicios en la nube debera considerar una estrategia de actuacin que bien pudiera ser la siguiente:
Evaluar los tratamientos y el nivel de Proteccin de Datos

El cliente ha de estudiar con detalle qu parte o partes de los tratamientos que realiza son susceptibles de ser transferidos a servicios de computacin en nube considerando no slo los beneficios, sino igualmente los potenciales riesgos que se van a asumir. La estrategia de actuacin que se sugiere conlleva, de un lado, el estudio sobre los recursos del responsable que son susceptibles de ser o no transferidos a la nube en funcin del nivel de riesgo que presenten, lo que pasa por un conocimiento detallado del responsable sobre los datos personales tratados. Como se ha sugerido, un elemento fundamental ser conocer los tratamientos sobre datos que cuenten con un especial nivel de proteccin otorgado por la legislacin (p. ej. los datos de salud). La transferencia de datos a servicios de computacin no excluye en principio a ningn tipo de dato, siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas, en forma de medidas organizativas y tcnicas, proporcionadas por el proveedor.
Verificar las condiciones en que se presta el servicio

Debe verificarse de forma previa a la contratacin las condiciones en la que se presta el servicio con el fin de determinar si ofrecen un nivel adecuado de cumplimiento. Las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la informacin proporcionada, ubicacin del tratamiento, existencia de subencargados, polticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio. Es aconsejable comparar las caractersticas ofrecidas por varios proveedores, no slo en trminos econmicos sino tambin en relacin con los contenidos de la prestacin y las garantas de calidad y cumplimiento legal que cada proveedor proporciona. En cualquier caso, debe prestarse especial atencin a no contratar servicios prestados en nube que no renan los requisitos legalmente establecidos.

T&TA

12

Tener en consideracin los procedimientos de salida en caso de cambio de proveedor facilitar que los procesos de retorno de datos se lleven a cabo sin merma de la integridad de los datos y con control pleno del responsable sobre su destino ulterior. En este mbito son de especial importancia los sistemas que el proveedor proporcione para asegurar, en todo momento, la portabilidad de esos datos.

LO QUE DEBO CONOCER PARA LA CONTRATACIN DE SERVICIOS DE CLOUD COMPUTING

La presente gua pretende facilitar el cumplimiento de la normativa de proteccin de datos en la contratacin de servicios de cloud computing ofreciendo una informacin prctica dirigida a pymes, microempresas y profesionales. Asimismo se informa sobre las caractersticas especficas de la contratacin en las Administraciones Pblicas. Para ello, la gua se articula sobre un cuestionario de preguntas y respuestas que trata los aspectos esenciales para la proteccin de datos personales en estos servicios. 1.-  Qu debo analizar y tener en cuenta antes de contratar servicios de cloud computing? Debe evaluar la tipologa de datos que trata atendiendo a su mayor o menor sensibilidad (por ejemplo los datos meramente identificativos no son datos sensibles y los relacionados con la salud tienen la mxima sensibilidad). Debe informarse sobre los tipos de nube (privada, pblica, hbrida) y las distintas modalidades de servicios (vea la introduccin de esta gua). Con esta informacin debe decidir para qu datos personales contratar servicios de cloud computing y cules prefiere mantener en sus propios sistemas de informacin. Esta decisin es importante porque delimitar las finalidades para las que el proveedor de cloud puede tratar los datos. En consecuencia, debe garantizarse expresamente que no utilizar los datos para otra finalidad que no tenga relacin con los servicios contratados. 2.-  Desde la perspectiva de la normativa de proteccin de datos, cul es mi papel como cliente de un servicio de cloud? El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compaa multinacional

T&TA

13

la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una clusula en el contrato con esta finalidad. El que ofrece la contratacin de cloud computing es un prestador de servicios que en la ley de proteccin de datos tiene la calificacin de encargado del tratamiento. 3.- Cul es la legislacin aplicable? El modelo de cloud computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso: El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislacin espaola sobre proteccin de datos (Ley Orgnica 15/1999, de 13 de diciembre y Reglamento de desarrollo RLOPD aprobado por R.D. 1720/2007). La aplicacin de la legislacin espaola no puede modificarse contractualmente. Aunque le informen de que los datos personales estn disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio. (Si quiere ms informacin sobre la disociacin de datos haga clic aqu). 4.- Cules son mis obligaciones como cliente? Debe solicitar y obtener informacin sobre si intervienen o no terceras empresas (subcontratistas) en la prestacin de servicios de cloud computing. Lo habitual es que intervengan terceras empresas. De ser as: Tiene que dar su conformidad a la participacin de terceras empresas, al menos delimitando genricamente los servicios en los que participarn (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipologa de servicios que pueden subcontratarse con terceros. Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una pgina web o a travs de otras opciones que le facilite el prestador del servicio). El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantas jurdicas para el tratamiento de los datos equivalentes a los que l mismo asume.

T&TA

14

 El contrato que firma ha de incorporar clusulas contractuales para la proteccin de los datos personales segn se detalla en las siguientes preguntas. 5.- Dnde pueden estar ubicados los datos personales? Es relevante su ubicacin? La localizacin de los datos tiene importancia porque las garantas exigibles para su proteccin son distintas segn los pases en que se encuentren. Los pases del Espacio Econmico Europeo ofrecen garantas suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Econmico Europeo est constituido por los pases de la Unin Europea e Islandia, Liechtenstein y Noruega. Si los datos estn localizados en pases que no pertenecen al Espacio Econmico Europeo habra una transferencia internacional de datos, en cuyo caso, y dependiendo del pas en que se encuentren, debern proporcionarse garantas jurdicas adecuadas. 6.-  Qu garantas se consideran adecuadas para las transferencias internacionales de datos? Se considera una garanta adecuada que el pas de destino ofrezca un nivel de proteccin equivalente al del Espacio Econmico Europeo y as se haya acordado por la Agencia Espaola de Proteccin de Datos o por Decisin de la Comisin Europea (si quiere conocer la lista de pases con nivel adecuado de proteccin haga clic aqu). En ese caso ser suficiente con hacer constar la transferencia en la notificacin del fichero realizada a la Agencia Espaola de Proteccin de Datos para su inscripcin en el Registro General de Proteccin de Datos. Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (si quiere conocer ms detalles sobre Puerto Seguro hagaclicaqu). Al igual que en el caso anterior ser suficiente con hacer constar la transferencia en la notificacin del fichero a la Agencia Espaola de Proteccin de Datos. En otro caso, la transferencia internacional de datos necesitar autorizacin del Director de la Agencia Espaola de Proteccin de Datos, que podr otorgarse en caso de que el exportador de datos aporte garantas adecuadas (si quiere conocer qu instrumentos jurdicos pueden utilizarse para ofrecer estas garantas haga clic aqu).

T&TA

15

 Pregunte al prestador de servicios de cloud computing si hay transferencias internacionales de datos y, en caso afirmativo, con qu garantas. Cuando los datos estn localizados en terceros pases podra suceder que una Autoridad competente pueda solicitar y obtener informacin sobre los datos personales de los que el cliente es responsable. En este caso el cliente debera ser informado por el proveedor de esta circunstancia (salvo que lo prohba la ley del pas tercero). 7.- Qu medidas de seguridad son exigibles? Las medidas de seguridad son indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la informacin en caso de que se produzcan incidencias de seguridad. El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales (para conocer los niveles de seguridad segn la naturaleza de los datos hagaclicaqu). Asimismo, el acceso a la informacin a travs de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local. (Para ms informacin haga clic aqu). Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y garantiza. 8.- Cmo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad? Como cliente debe tener la opcin de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quin ha accedido a los datos de los que es responsable. El proveedor de cloud computing le acredita que dispone de una certificacin de seguridad adecuada. Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estndares reconocidos que aplicar. Solicite informacin al proveedor de cloud sobre cmo se auditarn las medidas de seguridad.

T&TA

16

 El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, as como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daos que puedan producirse (p. ej. informar a sus propios clientes sobre cmo proteger su informacin personal). El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite informacin al proveedor de cloud sobre el cifrado de los datos. 9.- Qu compromisos de confidencialidad de los datos personales debo exigir? El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos slo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de l para que mantenga la confidencialidad. 10.-  Cmo garantizo que puedo recuperar los datos personales de los que soy responsable (portabilidad)? La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminacin del servicio, a entregar toda la informacin al cliente en el formato que se acuerde, de forma que ste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilizacin, en el plazo ms breve posible, con total garanta de la integridad de la informacin y sin incurrir en costes adicionales. En particular, el cliente debe tener la opcin de exigir la portabilidad de la informacin a sus propios sistemas de informacin o a un nuevo prestador de cloud cuando considere inadecuada la intervencin de algn subcontratista o la transferencia de datos a pases que estime no aportan garantas adecuadas. Tambin es particularmente importante en los casos en que el proveedor de cloud modifique unilateralmente las condiciones de prestacin del servicio dado su poder de negociacin frente al cliente. Solicite informacin y garantas al proveedor sobre la portabilidad de los datos personales.

T&TA

17

11.-  Cmo puedo asegurarme de que el proveedor de cloud no conserva los datos personales si se extingue el contrato? Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificacin de la destruccin emitido por el proveedor de cloud computing o por un tercero). 12.-  Cmo puedo garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin (derechos ARCO)? El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperacin y las herramientas adecuadas para facilitar la atencin de dichos derechos. Infrmese sobre las condiciones que le ofrece el proveedor para cumplir con ese deber de cooperacin para garantizar el ejercicio de estos derechos. Si desea ms informacin sobre los derechos ARCO haga clic aqu.

EL CLOUD COMPUTING EN LAS ADMINISTRACIONES PBLICAS

Qu singularidades presenta el cloud computing en las Administraciones Pblicas? El volumen y la sensibilidad de los datos que gestionan las Administraciones Pblicas conllevan unos riesgos especficos que deben ser objeto de un anlisis riguroso en cada escenario en el que se plantee su utilizacin. Estos riesgos especficos aconsejan la adopcin de cautelas adicionales en su implantacin, de forma que no se vean comprometidos los derechos y la seguridad de los ciudadanos. La posibilidad de tratamiento de los datos fuera del territorio nacional, caracterstica del cloud computing, constituye un elemento de especial relevancia en el caso de las Administraciones Pblicas. En este sentido, debe tenerse en cuenta que la normativa que regula los movimientos internacionales de datos es aplicable tanto a entidades pblicas como privadas (puede obtener ms informacin en la pregunta nmero 6 de esta gua).

T&TA

18

En particular, debe tenerse muy presente que Autoridades competentes de terceros pases en los que se traten datos personales en el marco de los servicios de cloud computing podran solicitar y acceder a la informacin de la que las Administraciones pblicas son responsables, en algunos casos, sin que se le informe de esta circunstancia. Por ello es fundamental obtener informacin del prestador de servicios de cloud computing sobre si existe esta posibilidad en alguno de los pases donde se vayan a tratar los datos, si la Administracin contratante puede conocer o no tales requerimientos, as como las decisiones que puede tomar al respecto. La trascendencia de estos posibles accesos es un factor muy relevante para decidir sobre la contratacin de estos servicios y el proveedor que los vaya a prestar. Adems de la LOPD y de su reglamento de desarrollo, las Administraciones Pblicas estn sujetas a un marco legal especfico al cual debe adecuarse la prestacin de servicios basados en cloud computing: Ley de Contratos del Sector Pblico. (RD Legislativo 3/2011, de 14 de noviembre) Ley 11/2007 de Acceso Electrnicos de los Ciudadanos a los Servicios Pblicos, y RD1671/2009 que desarrolla parcialmente esta ley. El Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI) (Reales Decretos 3/2010 y 4/2010, de 8 de enero). Qu aspectos deben tenerse en cuenta al contratar servicios de cloud computing? La contratacin por parte de las Administraciones Pblicas de servicios cloud computing que impliquen el tratamiento de datos de carcter personal requiere la formalizacin de un contrato escrito en los trminos previstos en el artculo 12 de la LOPD y en los artculos 20 a 22 de su reglamento de desarrollo. Estos requisitos han sido especficamente recogidos en el mbito de la contratacin pblica en la disposicin adicional vigesimosexta del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Pblico, que establece que: El prestador de servicios de computacin en la nube tendr la consideracin de encargado de tratamiento. Al trmino de la prestacin contractual los datos de carcter personal debern ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento

T&TA

19

que sta hubiese designado. (Puede obtener ms informacin sobre la devolucin y destruccin de los datos en las preguntas nmero 8 y 9). Esta disposicin tambin regula la posible subcontratacin de servicios por parte del encargado de tratamiento (el prestador de servicios de cloud computing), que deber reunir los siguientes requisitos: Que dicho tratamiento se haya especificado en el contrato firmado por la administracin contratante y el prestador de servicios de computacin en la nube. (Sobre cmo cumplir esta obligacin infrmese en la pregunta nmero 4). Que el tratamiento de datos de carcter personal se ajuste a las instrucciones de la administracin que acta como responsable del tratamiento. (Sobre cmo cumplir esta obligacin infrmese en las preguntas nmero 5 y 6). Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los trminos previstos en el artculo 12.2 de la LOPD. Los contratos de prestacin de servicios de cloud computing deben especificar las medidas tcnicas y organizativas que el prestador de servicios tiene previsto implantar para garantizar la seguridad de los datos. Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrnicos prestados por las Administraciones Pblicas (por ejemplo en el caso de las sedes electrnicas) deben reflejarse en el contrato mediante un acuerdo de nivel de servicio (SLA) en el que se especifiquen los indicadores de calidad de servicio que van a ser medidos y los valores mnimos aceptables de los mismos. (Sobre cmo cumplir esta obligacin, infrmese en las preguntas nmero 7 y 8). En ciertos casos, la complejidad de los servicios contratados puede aconsejar la designacin de un responsable del contrato en los trminos previstos en el artculo 52 del RDL 3/2011, de 14 de noviembre, con el fin de asegurar la correcta realizacin de la prestacin pactada. No obstante, la designacin de dicha figura no modifica el rgimen de obligaciones y responsabilidades al que est sujeto el responsable del tratamiento en materia de proteccin de datos de carcter personal. Qu elementos de la seguridad cobran especial relevancia en un entorno cloud? La prestacin de servicios por encargados de tratamiento en cloud debera quedar claramente identificada en el documento de seguridad. Asimismo, el acceso a la informacin

T&TA

20

debe reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local, en la forma dispuesta por el Ttulo VIII del RLOPD. (Para obtener informacin especfica sobre los requisitos para el accesos a datos personales a travs de redes de comunicaciones haga clic aqu y para una informacin ms amplia sobre los niveles de seguridad consulte la pregunta nmero 7). Por su parte, la implantacin de servicios de cloud computing incide de forma singular en algunos elementos del Esquema Nacional de Seguridad como los siguientes: Anlisis y gestin de riesgos. La migracin de servicios y aplicaciones a entornos de cloud computing debe ser objeto de un anlisis de riesgos que, en funcin de la sensibilidad de los datos y el nivel de amenazas, determine, en primer lugar, la conveniencia de esta solucin y, en caso afirmativo, los controles y salvaguardas que deben implantarse para mitigar los riesgos hasta un nivel que pueda ser considerado aceptable. Profesionalidad. Conlleva la necesidad de que, en cualquier modalidad de prestacin de servicios en la nube, la seguridad est atendida, revisada y auditada por personal cualificado. Proteccin de la informacin almacenada y en trnsito. Debido a la especial sensibilidad de los datos tratados por las Administraciones Pblicas, la aplicacin de tcnicas robustas de cifrado tanto a los datos en trnsito como a los datos almacenados constituye una medida necesaria para garantizar su confidencialidad. Asimismo, el contrato de prestacin de servicios en la nube debe contemplar la realizacin de copias de respaldo de la informacin de forma que se garantice la plena disponibilidad e integridad de los datos almacenados. Incidentes de seguridad y continuidad de la actividad. La adopcin de modelos de servicio basados en cloud computing debe contemplar una adecuada gestin de las incidencias de seguridad y mecanismos que garanticen la continuidad de las operaciones en caso de catstrofes o incidentes severos. Auditora de la seguridad. La contratacin de servicios de cloud computing exige garantizar la realizacin de las auditoras de seguridad ordinarias y extraordinarias previstas en el artculo 34 del ENS. Este artculo exige requisitos especficos sobre los criterios, mtodos de trabajo y de conducta utilizados; los aspectos respecto de los que debe determinar la auditora y los criterios metodolgicos utilizados.

T&TA

21

Asimismo contempla los destinatarios de la auditora y las conclusiones que deben realizarse sobre ella. Por tanto, la Administracin que contrate servicios de cloud computing debe obtener informacin sobre cmo cumplir estas obligaciones. (Puede obtener informacin bsica sobre esta obligacin en la pregunta nmero 7). Qu requisitos son exigibles en materia de portabilidad e interoperabilidad? La contratacin de servicios de cloud computing por parte de las Administraciones Pblicas debe garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de los derechos de acceso por parte de los ciudadanos, mediante el uso de formatos estandarizados de datos que cumplan los requisitos establecidos en el Esquema Nacional de Interoperabilidad: Los documentos y servicios de administracin electrnica que se pongan a disposicin de los ciudadanos o de otras Administraciones Pblicas deben encontrarse disponibles, como mnimo, mediante estndares abiertos. Asimismo, deben ser visualizables, accesibles y funcionalmente operables en condiciones que permitan satisfacer el principio de neutralidad tecnolgica y eviten la discriminacin a los ciudadanos por razn de su eleccin tecnolgica. Deben adoptarse medidas organizativas y tcnicas necesarias con el fin de garantizar la interoperabilidad en relacin con la recuperacin y conservacin de los documentos electrnicos a lo largo de su ciclo de vida. Conservacin de los documentos electrnicos en el formato en el que hayan sido elaborados, enviados o recibidos, y preferentemente en un formato correspondiente a un estndar abierto que preserve a lo largo del tiempo la integridad del contenido de los documentos, de la firma electrnica y de los metadatos que lo acompaan. (Puede obtener ms informacin sobre la portabilidad de los datos en la pregunta nmero 8).

Glosario
IaaS: Infraestructura como servicio. Cuando el proveedor de cloud proporciona a sus clientes recursos de procesamiento y almacenamiento a travs de la red, sin ningn otro valor aadido.

T&TA

22

SaaS: Software como servicio. Cuando el proveedor de cloud proporciona al cliente aplicaciones que implementan los procesos de su empresa. PaaS: Plataforma como servicio. Cuando el proveedor de cloud proporciona al cliente las herramientas necesarias para desarrollar sus aplicaciones sobre la nube. Portabilidad: que los datos de un contratista que estn en los servidores del proveedor de cloud puedan trasladarse a otro proveedor (o a sistemas locales) a eleccin del contratista y sin prdida de datos ni de servicio. Localizacin: el punto geogrfico concreto en el que se encuentran los datos o se realiza el proceso en un servicio de cloud computing.

T&TA

23

www.agpd.es