GUA

para
clientes que
contraten servicios
de
Computing
Cloud

GUA
de
Computing
Cloud
para clientes que
contraten servicios
AGENCIA ESPAOLA DE PROTECCIN DE DATOS-2013
ndi ce
5 QU ES CLOUD COMPUTING?
6 ACTORES EN EL MODELO DE CLOUD COMPUTING
6 TIPOS DE CLOUD COMPUTING
7 NubE PbLICA
7 NubE PRIvADA
7 OTROS mODELOS
7 MODALIDADES DE SERVICIO
8 SOfTwARE COmO SERvICIO
8 INfRAESTRuCTuRA COmO SERvICIO
8 PLATAfORmA COmO SERvICIO
8 PORTABILIDAD DE LA INFORMACIN
9 LOCALIZACIN DEL PROCESO Y DE LOS DATOS
9 SubCONTRATACIN
9 LOCALIzACIN
10 TRANSPARENCIA
10 LAS GARANTAS CONTRACTUALES
11 RIESGOS DE LA COMPUTACIN EN NUBE
11 fALTA DE TRANSPARENCIA
11 fALTA DE CONTROL
12 UNA ESTRATEGIA PARA EL CLIENTE DE SERVICIOS DE COMPUTACIN EN NUBE
12 EvALuAR LOS TRATAmIENTOS y EL NIvEL DE PROTECCIN DE DATOS
12 vERIfICAR LAS CONDICIONES EN quE SE PRESTA EL SERvICIO
13 LO QUE DEBO CONOCER PARA LA CONTRATACIN DE SERVICIOS DE CLOUD COMPUTING
13 1.- qu debo analizar y tener en cuenta antes de contratar servicios de cloud
computing?
13 2.- Desde la perspectiva de la normativa de proteccin de datos, cul es mi papel
como cliente de un servicio de cloud?
14 3.- Cul es la legislacin aplicable?
14 4.- Cules son mis obligaciones como cliente?
15 5.- Dnde pueden estar ubicados los datos personales? Es relevante su ubicacin?
15 6.- qu garantas se consideran adecuadas para las transferencias internacionales de
datos?
16 7.- qu medidas de seguridad son exigibles?
16 8.- Cmo puedo garantizar o asegurarme de que se cumplen las medidas de
seguridad?
17 9.- qu compromisos de confidencialidad de los datos personales debo exigir?
17 10.- Cmo garantizo que puedo recuperar los datos personales de los que soy
responsable (portabilidad)?
18 11.- Cmo puedo asegurarme de que el proveedor de cloud no conserva los datos
personales si se extingue el contrato?
18 12.- Cmo puedo garantizar el ejercicio de los derechos de acceso, rectificacin,
cancelacin y oposicin (derechos ARCO)?
18 EL CLOUD COMPUTING EN LAS ADMINISTRACIONES PBLICAS
18 qu singularidades presenta el cloud computing en las Administraciones Pblicas?
19 qu aspectos deben tenerse en cuenta al contratar servicios de cloud computing?
20 qu elementos de la seguridad cobran especial relevancia en un entorno cloud?
22 qu requisitos son exigibles en materia de portabilidad e interoperabilidad?
22 GLOSARIO
5
GuA PARA CLIENTES
quE CONTRATEN SERvICIOS DE CLOuD COmPuTING
qu ES CLOuD COmPuTING?
El cloud computing o computacin en nube es una nueva forma de prestacin de los servicios de
tratamiento de la informacin, vlida tanto para una empresa como para un particular y, tambin,
para la Administracin Pblica.
Una solucin cloud computing permite al usuario optimizar la asignacin y el coste de los recur-
sos asociados a sus necesidades de tratamiento de informacin. El usuario no tiene necesidad de
realizar inversiones en infraestructura sino que utiliza la que pone a su disposicin el prestador del
servicio, garantizando que no se generan situaciones de falta o exceso de recursos, as como el
sobrecoste asociado a dichas situaciones.
En un entorno de cloud computing la gestin de la informacin est de forma virtual en manos
del cliente que contrata los servicios de la nube, que la trata a travs de Internet accediendo a
soluciones de bases de datos, correo electrnico, nminas o gestin de recursos humanos de
acuerdo a sus necesidades. En funcin del modelo utilizado, los datos pueden no estar realmente
en manos del contratista, toda vez que la propiedad, el mantenimiento y gestin del soporte fsico
de la informacin, los procesos y las comunicaciones pueden encontrarse en manos de terceros.
El proveedor del servicio puede encontrarse en, prcticamente, cualquier lugar del mundo y su
objetivo ltimo ser proporcionar los servicios citados optimizando sus propios recursos a travs
de, por ejemplo, prcticas de deslocalizacin, comparticin de recursos y movilidad o realizando
subcontrataciones adicionales.

6
De esta forma, el cloud computing representa una nueva forma de utilizar las tecnologas de la
informacin y las comunicaciones, que se basa en emplear tcnicas ya existentes de una forma
innovadora y, sobre todo, a una nueva escala. Esto ltimo es lo que la hace realmente distinta, ya
que permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicacio-
nes que se encuentran distribuidos geogrficamente y a los que se accede a travs de redes pbli-
cas, de forma dinmica, cuando se necesita, mientras se necesita y abonando una tarifa (cuando
no es gratuita) sobre lo que se consume; es decir, proporcionando a sus clientes un servicio de
tecnologas de informacin bajo demanda.
Como consecuencia de lo anterior, el mismo contratista puede desconocer la localizacin preci-
sa de sus datos y no disponer del control directo de acceso a los mismos, de su borrado y de su
portabilidad, ya que la informacin no est fsicamente en su poder aunque, si esa informacin
contiene datos de carcter personal, s est bajo su responsabilidad desde el punto de vista de la
Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD).
ACTORES EN EL mODELO DE CLOuD COmPuTING
Podemos decir que se estn utilizando servicios de cloud computing cuando encontramos em-
presas, entidades, departamentos, etc., a los que llamaremos usuarios o clientes, que para imple-
mentar sus procesos de tratamiento de informacin comparten los mismos recursos a travs de
la red; recursos proporcionados por una entidad distinta, llamada proveedor de servicios de cloud
computing o proveedor de la nube.
Aparte de clientes y proveedores, existen otros actores en el mundo del cloud computing. Entre ellos
destacan los socios o partners de los proveedores de cloud. Estos crean, ofrecen y soportan servicios
adicionales en la nube que venden al usuario final como licencias de uso, por ejemplo, creando una
aplicacin de marketing que se ejecuta en la nube a partir de servicios ms bsicos de la misma. Los
partners se sitan entre el cliente y el proveedor de la nube, pudiendo formalizar su relacin con este
ltimo con distintas figuras contractuales (reseller, vendedor independiente, etc).
TIPOS DE CLOuD COmPuTING
No todos los servicios y proveedores de cloud computing son iguales, ni lo son las posibles rela-
ciones que se establecen entre clientes y proveedores. Las nubes se pueden clasificar de muchas
formas atendiendo a varios criterios y lo que ms interesa, desde el punto de vista de la normativa
7
espaola de proteccin de datos, es cmo afectan dichas modalidades de implementacin al tra-
tamiento de datos de carcter personal.
NUBE PBLICA
Hablamos de un servicio de Nube Pblica cuando el proveedor de servicios de cloud proporciona
sus recursos de forma abierta a entidades heterogneas, sin ms relacin entre s que haber ce-
rrado un contrato con el mismo proveedor de servicio. Existen diversas y numerosas soluciones en
Nube Pblica y prestan sus servicios desde particulares a grandes corporaciones, ya que cualquiera
puede contratar con ellos.
NUBE PRIVADA
En el otro extremo podemos hablar de Nube Privada, que la encontramos cuando una entidad
realiza la gestin y administracin de sus servicios en la nube para las partes que la forman, sin
que en la misma puedan participar entidades externas y manteniendo el control sobre ella. Una
Nube Privada no necesariamente se implementa por la misma entidad que la utiliza, sino que
puede contratarse a un tercero que actuar bajo su supervisin y en funcin de sus necesidades.
Las entidades que optan por las Nubes Privadas son aquellas que son complejas y necesitan cen-
tralizar los recursos informticos y, a la vez, ofrecer flexibilidad en la disponibilidad de los mismos,
por ejemplo, administraciones pblicas y grandes corporaciones, aunque hay ejemplos de Nubes
Privadas implementadas en entidades de enseanza.
OTROS MODELOS
Entre ambos modelos se encuentran soluciones intermedias que tomarn distintos nombres, como
pueden ser las Nubes Hbridas, en las que determinados servicios se ofrecen de forma pblica y
otros de forma privada; las Nubes Comunitarias, cuando dichos servicios son compartidos en una
comunidad cerrada; o las Nubes Privadas Virtuales, cuando sobre Nubes Pblicas se implementan
garantas adicionales de seguridad.
mODALIDADES DE SERvICIO
Los proveedores de la nube proporcionan acceso a recursos informticos a travs de la red, y ofre-
cen una serie de servicios adicionales de valor aadido que acercarn la oferta del proveedor a las
necesidades de su cliente. En funcin de lo completo que sea ese valor aadido podemos decir
que tenemos una solucin de Infraestructura como Servicio, Plataforma como Servicio o Software
8
como Servicio. Esta divisin no puede considerarse rgida, ya que hay proveedores que proporcio-
nan soluciones mixtas en las que se combinan caractersticas de todas ellas.
SOFTwARE COMO SERVICIO
Podemos hablar de una Nube de Software (modelo de servicio Software as a Service o SaaS),
cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar
directamente los procesos de su empresa: una aplicacin de contabilidad, de correo electrnico,
un worlkflow, un programa para la gestin documental de su empresa, etc.
INFRAESTRUCTURA COMO SERVICIO
Si el valor aadido es nulo, se puede hablar de una Nube de infraestructura (IaaS). En ese caso
el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el
usuario ha de construir las aplicaciones que necesita su empresa prcticamente desde cero. Tal vez
se pueda decir que ste es el modelo ms primitivo de nube, que se inici con los sitios de Internet
que proporcionaban capacidad de almacenamiento masivo a travs de la red y los servidores de
alojamiento web.
PLATAFORMA COMO SERVICIO
Entre estas dos aproximaciones se pueden encontrar otras intermedias llamadas PaaS (Plataforma
como Servicio), en las que se proporcionan utilidades para construir aplicaciones, como bases
de datos o entornos de programacin sobre las que el usuario puede desarrollar sus propias
soluciones.
PORTAbILIDAD DE LA INfORmACIN
Las soluciones que ofrecen los proveedores de cloud computing pueden clasificarse como abiertas
a la portabilidad o cerradas a la misma. Se podr considerar una solucin abierta a la portabilidad
cuanto mayor sea la facilidad de un usuario para transferir todos sus datos y aplicaciones desde un
proveedor de cloud a otro (o a los sistemas propiedad del cliente), garantizando la disponibilidad
de los datos y la continuidad del servicio.
Hay que tener en cuenta que el fin de la relacin con el proveedor de cloud puede darse no slo
en el caso de rescisin de contrato por parte del cliente sino por otras circunstancias ajenas al
mismo, como podra ser el fin de la prestacin de algn tipo de servicio por parte del proveedor, el
cambio de su poltica comercial o del marco regulatorio. Es, entonces, un aspecto importante que
9
debe tenerse en cuenta a la hora de utilizar servicios de cloud, sobre todo pblicos, pues cuanto
ms cerrado a la portabilidad sea el proveedor mayor ser la dificultad, o incluso imposibilidad,
de poder realizar esa transferencia a un coste razonable que haga que, de facto, el cliente est
cautivo del proveedor.
LOCALIzACIN DEL PROCESO y DE LOS DATOS
El proveedor de cloud computing, a la hora de implementar los servicios al usuario final, puede
ser el prestador nico de los mismos cuando todos los recursos para proporcionarlos pertenecen
al propio proveedor. Es decir, dispone de toda la infraestructura necesaria, que administra direc-
tamente, y no subcontrata a terceros en funcin de la distinta carga de trabajo que tenga.
SUBCONTRATACIN
Por el contrario, puede no tratarse de un prestador final cuando el servicio que ofrece directamen-
te al usuario se construye sobre la subcontratacin a terceros de elementos necesarios para imple-
mentarlos (hardware, almacenamiento, comunicaciones, etc.), como es el caso de los partners. A
su vez, los subcontratistas pueden subcontratar de nuevo parte del servicio que proporcionan al
prestador final a terceras y sucesivas compaas. Este es un modelo de cadena de subcontratacio-
nes que en teora podra no tener fin, y cuyo objeto es redimensionar continuamente los recursos
de la nube de forma dinmica y en funcin de las condiciones del mercado.
LOCALIZACIN
A la hora de decantarse por la utilizacin de un servicio de cloud computing, hay otros condicio-
nantes que hay que tener en cuenta desde el punto de vista de los derechos de los ciudadanos y
del ejercicio de las responsabilidades del cliente de dichos servicios.
Es importante identificar qu proveedores de cloud estn localizados dentro del Espacio Econmi-
co Europeo o en pases que de una u otra forma garanticen un nivel adecuado de proteccin de
los datos de carcter personal. Esta localizacin afecta no slo a la sede del proveedor de cloud,
sino tambin a la localizacin de cada uno de los recursos fsicos que emplea para implementar
el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la
localizacin de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos
pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos
a dichos datos han de garantizarse siempre.
10
TRANSPARENCIA
En relacin al control de la localizacin de los datos de un usuario, un servicio de cloud puede ser
auditable o transparente (en el sentido de la palabra inglesa accountable) cuando el contratista
puede reclamar informacin precisa de dnde, cundo y quin ha almacenado o procesado sus
datos (dentro de los recursos propios del proveedor o de la cadena de subcontrataciones), y en
qu condiciones de seguridad se ha producido. En otro caso, nos encontraremos con un servicio
opaco al usuario, en el que ste no tiene opcin alguna de obtener informacin precisa de qu ha
ocurrido con sus datos ni herramientas para auditar el servicio que se le est proporcionando y en
el que su propia informacin escapa a su control.
LAS GARANTAS CONTRACTuALES
La contratacin de servicios de cloud computing se realizar a travs de un contrato de prestacin
de servicios. Resulta imprescindible que ese contrato incorpore entre sus clusulas las garantas a
las que obliga la Ley Orgnica de Proteccin de Datos.
Atendiendo a la relacin contractual establecida entre el cliente y el proveedor de la nube, tam-
bin este contrato se puede clasificar como negociado o de adhesin. Podemos decir que un con-
trato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad
para fijar las condiciones de contratacin en funcin del tipo de datos que se van a procesar, las
medidas de seguridad exigibles, el esquema de subcontratacin, la localizacin de los datos, la
portabilidad de los mismos y cualquier otro aspecto de adecuacin a la regulacin espaola y a las
restricciones que esta regulacin implica.
En la mayora de los casos, sin embargo, lo que se oferta son contratos de adhesin, constitui-
dos por clusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones
con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opcin para
negociar sus trminos. Este ltimo caso es el ms comn, sobre todo cuando se encuentra el
cliente en una situacin de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque
hay que tener en cuenta que esto no eximir, a ninguno de los dos, de las responsabilidades
que determina la LOPD.
11
RIESGOS DE LA COmPuTACIN EN NubE
El uso de servicios de computacin en nube ofrece un gran nmero de ventajas pero presenta
tambin, por sus caractersticas, unos riesgos especficos que deben afrontarse con una adecua-
da eleccin del prestador. Para ello debe analizarse que las condiciones de prestacin tengan en
cuenta los elementos que permitan que el tratamiento de datos se realice sin merma de las garan-
tas que le son aplicables.
Podemos agrupar los riesgos en dos grandes categoras: falta de transparencia sobre las condicio-
nes en las que se presta el servicio y falta de control del responsable sobre el uso y gestin de los
datos personales por parte de los agentes implicados en el servicio.
FALTA DE TRANSPARENCIA
Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos
a la necesidad de conocer el qu, quin, cmo y dnde se lleva a cabo el tratamiento de los datos
que se proporcionan al proveedor para la prestacin del servicio. Si este ltimo no da una infor-
macin clara, precisa y completa sobre todos los elementos inherentes a la prestacin, la decisin
adoptada por el responsable no podr tener en consideracin de forma adecuada requisitos b-
sicos como la ubicacin de los datos, la existencia de subencargados, los controles de acceso a la
informacin o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad
de evaluar los riesgos y establecer los controles adecuados.
FALTA DE CONTROL
Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte tam-
bin de la ausencia de transparencia en la informacin, la falta de control del responsable se
manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicacin de los
datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obte-
nerlos en un formato vlido e interoperable, los obstculos a una gestin efectiva del tratamiento
o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del
tratamiento en lo tocante a salvaguardas tcnicas y organizativas.
12
uNA ESTRATEGIA PARA EL CLIENTE DE SERvICIOS DE
COmPuTACIN EN NubE
Frente a los riesgos descritos, el responsable del tratamiento p.ej. empresas o administraciones
que pretenda incorporar todo o parte del tratamiento de datos a servicios en la nube debera
considerar una estrategia de actuacin que bien pudiera ser la siguiente:
EVALUAR LOS TRATAMIENTOS Y EL NIVEL DE PROTECCIN DE DATOS
El cliente ha de estudiar con detalle qu parte o partes de los tratamientos que realiza son suscep-
tibles de ser transferidos a servicios de computacin en nube considerando no slo los beneficios,
sino igualmente los potenciales riesgos que se van a asumir.
La estrategia de actuacin que se sugiere conlleva, de un lado, el estudio sobre los recursos del res-
ponsable que son susceptibles de ser o no transferidos a la nube en funcin del nivel de riesgo que
presenten, lo que pasa por un conocimiento detallado del responsable sobre los datos personales
tratados. Como se ha sugerido, un elemento fundamental ser conocer los tratamientos sobre
datos que cuenten con un especial nivel de proteccin otorgado por la legislacin (p. ej. los datos
de salud). La transferencia de datos a servicios de computacin no excluye en principio a ningn
tipo de dato, siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas,
en forma de medidas organizativas y tcnicas, proporcionadas por el proveedor.
VERIFICAR LAS CONDICIONES EN QUE SE PRESTA EL SERVICIO
Debe verificarse de forma previa a la contratacin las condiciones en la que se presta el servicio
con el fin de determinar si ofrecen un nivel adecuado de cumplimiento.
Las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que in-
cluya, entre otros, elementos relativos a la informacin proporcionada, ubicacin del tratamiento,
existencia de subencargados, polticas de seguridad, derechos del usuario y obligaciones legales
del prestador del servicio.
Es aconsejable comparar las caractersticas ofrecidas por varios proveedores, no slo en trminos
econmicos sino tambin en relacin con los contenidos de la prestacin y las garantas de calidad
y cumplimiento legal que cada proveedor proporciona.
En cualquier caso, debe prestarse especial atencin a no contratar servicios prestados en nube que
no renan los requisitos legalmente establecidos.
13
Tener en consideracin los procedimientos de salida en caso de cambio de proveedor facilitar
que los procesos de retorno de datos se lleven a cabo sin merma de la integridad de los datos y
con control pleno del responsable sobre su destino ulterior. En este mbito son de especial im-
portancia los sistemas que el proveedor proporcione para asegurar, en todo momento, la porta-
bilidad de esos datos.
LO quE DEbO CONOCER PARA LA CONTRATACIN DE SERvICIOS
DE CLOuD COmPuTING
La presente gua pretende facilitar el cumplimiento de la normativa de proteccin de datos en
la contratacin de servicios de cloud computing ofreciendo una informacin prctica dirigida a
pymes, microempresas y profesionales. Asimismo se informa sobre las caractersticas especficas
de la contratacin en las Administraciones Pblicas. Para ello, la gua se articula sobre un cues-
tionario de preguntas y respuestas que trata los aspectos esenciales para la proteccin de datos
personales en estos servicios.
1.- Qu debo analizar y tener en cuenta antes de contratar servicios de cloud
computing?
Debe evaluar la tipologa de datos que trata atendiendo a su mayor o menor sensibilidad
(por ejemplo los datos meramente identificativos no son datos sensibles y los relacionados
con la salud tienen la mxima sensibilidad).
Debe informarse sobre los tipos de nube (privada, pblica, hbrida) y las distintas modalida-
des de servicios (vea la introduccin de esta gua).
Con esta informacin debe decidir para qu datos personales contratar servicios de cloud
computing y cules prefiere mantener en sus propios sistemas de informacin. Esta deci-
sin es importante porque delimitar las finalidades para las que el proveedor de cloud
puede tratar los datos. En consecuencia, debe garantizarse expresamente que no utilizar
los datos para otra finalidad que no tenga relacin con los servicios contratados.
2.- Desde la perspectiva de la normativa de proteccin de datos, cul es mi papel
como cliente de un servicio de cloud?
El cliente que contrata servicios de cloud computing sigue siendo responsable del trata-
miento de los datos personales. Aunque los contrate con una gran compaa multinacional
14
la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una
clusula en el contrato con esta finalidad.
El que ofrece la contratacin de cloud computing es un prestador de servicios que en la ley
de proteccin de datos tiene la calificacin de encargado del tratamiento.
3.- Cul es la legislacin aplicable?
El modelo de cloud computing hace posible que tanto los proveedores de servicios como los
datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en
todo caso:
El cliente que contrata servicios de cloud computing sigue siendo responsable del trata-
miento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es
la legislacin espaola sobre proteccin de datos (Ley Orgnica 15/1999, de 13 de diciem-
bre y Reglamento de desarrollo RLOPD aprobado por R.D. 1720/2007).
La aplicacin de la legislacin espaola no puede modificarse contractualmente.
Aunque le informen de que los datos personales estn disociados, no cambia la ley aplica-
ble ni la responsabilidad del cliente y del prestador del servicio. (Si quiere ms informacin
sobre la disociacin de datos haga clic aqu).
4.- Cules son mis obligaciones como cliente?
Debe solicitar y obtener informacin sobre si intervienen o no terceras empresas (subcon-
tratistas) en la prestacin de servicios de cloud computing.
Lo habitual es que intervengan terceras empresas. De ser as:
Tiene que dar su conformidad a la participacin de terceras empresas, al menos deli-
mitando genricamente los servicios en los que participarn (p. ej. en el alojamiento de
datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre
la tipologa de servicios que pueden subcontratarse con terceros.
Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a
una pgina web o a travs de otras opciones que le facilite el prestador del servicio).
El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garan-
tas jurdicas para el tratamiento de los datos equivalentes a los que l mismo asume.
15
El contrato que firma ha de incorporar clusulas contractuales para la proteccin de los
datos personales segn se detalla en las siguientes preguntas.
5.- Dnde pueden estar ubicados los datos personales? Es relevante su ubicacin?
La localizacin de los datos tiene importancia porque las garantas exigibles para su protec-
cin son distintas segn los pases en que se encuentren.
Los pases del Espacio Econmico Europeo ofrecen garantas suficientes y no se considera
legalmente que exista una transferencia internacional de datos. El Espacio Econmico Euro-
peo est constituido por los pases de la Unin Europea e Islandia, Liechtenstein y Noruega.
Si los datos estn localizados en pases que no pertenecen al Espacio Econmico Europeo
habra una transferencia internacional de datos, en cuyo caso, y dependiendo del pas en
que se encuentren, debern proporcionarse garantas jurdicas adecuadas.
6.- Qu garantas se consideran adecuadas para las transferencias internacionales de
datos?
Se considera una garanta adecuada que el pas de destino ofrezca un nivel de proteccin
equivalente al del Espacio Econmico Europeo y as se haya acordado por la Agencia
Espaola de Proteccin de Datos o por Decisin de la Comisin Europea (si quiere cono-
cer la lista de pases con nivel adecuado de proteccin haga clic aqu). En ese caso ser
suficiente con hacer constar la transferencia en la notificacin del fichero realizada a la
Agencia Espaola de Proteccin de Datos para su inscripcin en el Registro General de
Proteccin de Datos.
Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscri-
to los principios de Puerto Seguro (si quiere conocer ms detalles sobre Puerto Seguro
haga clic aqu). Al igual que en el caso anterior ser suficiente con hacer constar la transfe-
rencia en la notificacin del fichero a la Agencia Espaola de Proteccin de Datos.
En otro caso, la transferencia internacional de datos necesitar autorizacin del Director de
la Agencia Espaola de Proteccin de Datos, que podr otorgarse en caso de que el expor-
tador de datos aporte garantas adecuadas (si quiere conocer qu instrumentos jurdicos
pueden utilizarse para ofrecer estas garantas haga clic aqu).
16
Pregunte al prestador de servicios de cloud computing si hay transferencias internacionales
de datos y, en caso afirmativo, con qu garantas.
Cuando los datos estn localizados en terceros pases podra suceder que una Autoridad
competente pueda solicitar y obtener informacin sobre los datos personales de los que
el cliente es responsable. En este caso el cliente debera ser informado por el proveedor de
esta circunstancia (salvo que lo prohba la ley del pas tercero).
7.- Qu medidas de seguridad son exigibles?
Las medidas de seguridad son indispensables para garantizar la integridad de los datos
personales, evitar accesos no autorizados y recuperar la informacin en caso de que se
produzcan incidencias de seguridad.
El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos
personales (para conocer los niveles de seguridad segn la naturaleza de los datos
haga clic aqu).
Asimismo, el acceso a la informacin a travs de redes de comunicaciones debe contemplar
un nivel de medidas de seguridad equivalente al de los accesos en modo local. (Para ms
informacin haga clic aqu).
Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y
garantiza.
8.- Cmo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad?
Como cliente debe tener la opcin de comprobar las medidas de seguridad, incluidos los
registros que permiten conocer quin ha accedido a los datos de los que es responsable.
El proveedor de cloud computing le acredita que dispone de una certificacin de seguridad
adecuada.
Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe co-
nocerse la entidad auditora y los estndares reconocidos que aplicar.
Solicite informacin al proveedor de cloud sobre cmo se auditarn las medidas de
seguridad.
17
El cliente debe ser informado diligentemente por el proveedor de cloud sobre las inciden-
cias de seguridad que afecten a los datos de los que el propio cliente es responsable, as
como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de
tomar para evitar los daos que puedan producirse (p. ej. informar a sus propios clientes
sobre cmo proteger su informacin personal).
El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite
informacin al proveedor de cloud sobre el cifrado de los datos.
9.- Qu compromisos de confidencialidad de los datos personales debo exigir?
El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad
utilizando los datos slo para los servicios contratados.
Asimismo debe comprometerse a dar instrucciones al personal que depende de l para que
mantenga la confidencialidad.
10.- Cmo garantizo que puedo recuperar los datos personales de los que soy res-
ponsable (portabilidad)?
La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el con-
trato o a la terminacin del servicio, a entregar toda la informacin al cliente en el formato
que se acuerde, de forma que ste pueda almacenarla en sus propios sistemas o bien optar
porque se traslade a los de un nuevo proveedor en un formato que permita su utilizacin,
en el plazo ms breve posible, con total garanta de la integridad de la informacin y sin
incurrir en costes adicionales.
En particular, el cliente debe tener la opcin de exigir la portabilidad de la informacin a
sus propios sistemas de informacin o a un nuevo prestador de cloud cuando considere
inadecuada la intervencin de algn subcontratista o la transferencia de datos a pases que
estime no aportan garantas adecuadas.
Tambin es particularmente importante en los casos en que el proveedor de cloud modifi-
que unilateralmente las condiciones de prestacin del servicio dado su poder de negocia-
cin frente al cliente.
Solicite informacin y garantas al proveedor sobre la portabilidad de los datos personales.
18
11.- Cmo puedo asegurarme de que el proveedor de cloud no conserva los datos
personales si se extingue el contrato?
Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo soli-
cite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir
una certificacin de la destruccin emitido por el proveedor de cloud computing o por un
tercero).
12.- Cmo puedo garantizar el ejercicio de los derechos de acceso, rectificacin, can-
celacin y oposicin (derechos ARCO)?
El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir
el ejercicio de los derechos ARCO a los ciudadanos.
Para ello, el proveedor de cloud debe garantizar su cooperacin y las herramientas adecua-
das para facilitar la atencin de dichos derechos.
Infrmese sobre las condiciones que le ofrece el proveedor para cumplir con ese deber de
cooperacin para garantizar el ejercicio de estos derechos.
Si desea ms informacin sobre los derechos ARCO haga clic aqu.
EL CLOuD COmPuTING EN LAS ADmINISTRACIONES PbLICAS
Qu singularidades presenta el cloud computing en las Administraciones Pblicas?
El volumen y la sensibilidad de los datos que gestionan las Administraciones Pblicas conllevan
unos riesgos especficos que deben ser objeto de un anlisis riguroso en cada escenario en el que
se plantee su utilizacin. Estos riesgos especficos aconsejan la adopcin de cautelas adicionales
en su implantacin, de forma que no se vean comprometidos los derechos y la seguridad de los
ciudadanos.
La posibilidad de tratamiento de los datos fuera del territorio nacional, caracterstica del cloud
computing, constituye un elemento de especial relevancia en el caso de las Administraciones
Pblicas. En este sentido, debe tenerse en cuenta que la normativa que regula los movimientos
internacionales de datos es aplicable tanto a entidades pblicas como privadas (puede obtener
ms informacin en la pregunta nmero 6 de esta gua).
19
En particular, debe tenerse muy presente que Autoridades competentes de terceros pases en los
que se traten datos personales en el marco de los servicios de cloud computing podran solicitar
y acceder a la informacin de la que las Administraciones pblicas son responsables, en algunos
casos, sin que se le informe de esta circunstancia. Por ello es fundamental obtener informacin
del prestador de servicios de cloud computing sobre si existe esta posibilidad en alguno de los
pases donde se vayan a tratar los datos, si la Administracin contratante puede conocer o no tales
requerimientos, as como las decisiones que puede tomar al respecto. La trascendencia de estos
posibles accesos es un factor muy relevante para decidir sobre la contratacin de estos servicios y
el proveedor que los vaya a prestar.
Adems de la LOPD y de su reglamento de desarrollo, las Administraciones Pblicas estn sujetas
a un marco legal especfico al cual debe adecuarse la prestacin de servicios basados en cloud
computing:
Ley de Contratos del Sector Pblico. (RD Legislativo 3/2011, de 14 de noviembre)
Ley 11/2007 de Acceso Electrnicos de los Ciudadanos a los Servicios Pblicos, y
RD 1671/2009 que desarrolla parcialmente esta ley.
El Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI)
(Reales Decretos 3/2010 y 4/2010, de 8 de enero).
Qu aspectos deben tenerse en cuenta al contratar servicios de cloud computing?
La contratacin por parte de las Administraciones Pblicas de servicios cloud computing
que impliquen el tratamiento de datos de carcter personal requiere la formalizacin de un
contrato escrito en los trminos previstos en el artculo 12 de la LOPD y en los artculos 20
a 22 de su reglamento de desarrollo.
Estos requisitos han sido especficamente recogidos en el mbito de la contratacin pblica
en la disposicin adicional vigesimosexta del Real Decreto Legislativo 3/2011, de 14 de no-
viembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Pblico,
que establece que:
El prestador de servicios de computacin en la nube tendr la consideracin de encar-
gado de tratamiento.
Al trmino de la prestacin contractual los datos de carcter personal debern ser des-
truidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento
20
que sta hubiese designado. (Puede obtener ms informacin sobre la devolucin y
destruccin de los datos en las preguntas nmero 8 y 9).
Esta disposicin tambin regula la posible subcontratacin de servicios por parte del encar-
gado de tratamiento (el prestador de servicios de cloud computing), que deber reunir los
siguientes requisitos:
Que dicho tratamiento se haya especificado en el contrato firmado por la administracin
contratante y el prestador de servicios de computacin en la nube. (Sobre cmo cumplir
esta obligacin infrmese en la pregunta nmero 4).
Que el tratamiento de datos de carcter personal se ajuste a las instrucciones de la
administracin que acta como responsable del tratamiento. (Sobre cmo cumplir esta
obligacin infrmese en las preguntas nmero 5 y 6).
Que el prestador de servicios encargado del tratamiento y el tercero formalicen el con-
trato en los trminos previstos en el artculo 12.2 de la LOPD.
Los contratos de prestacin de servicios de cloud computing deben especificar las me-
didas tcnicas y organizativas que el prestador de servicios tiene previsto implantar para
garantizar la seguridad de los datos. Asimismo, los especiales requisitos de disponibilidad,
confidencialidad e integridad que puedan requerir ciertos servicios electrnicos presta-
dos por las Administraciones Pblicas (por ejemplo en el caso de las sedes electrnicas)
deben reflejarse en el contrato mediante un acuerdo de nivel de servicio (SLA) en el que
se especifiquen los indicadores de calidad de servicio que van a ser medidos y los valores
mnimos aceptables de los mismos. (Sobre cmo cumplir esta obligacin, infrmese en las
preguntas nmero 7 y 8).
En ciertos casos, la complejidad de los servicios contratados puede aconsejar la designacin
de un responsable del contrato en los trminos previstos en el artculo 52 del RDL 3/2011,
de 14 de noviembre, con el fin de asegurar la correcta realizacin de la prestacin pactada.
No obstante, la designacin de dicha figura no modifica el rgimen de obligaciones y res-
ponsabilidades al que est sujeto el responsable del tratamiento en materia de proteccin
de datos de carcter personal.
Qu elementos de la seguridad cobran especial relevancia en un entorno cloud?
La prestacin de servicios por encargados de tratamiento en cloud debera quedar clara-
mente identificada en el documento de seguridad. Asimismo, el acceso a la informacin
21
debe reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local,
en la forma dispuesta por el Ttulo VIII del RLOPD. (Para obtener informacin especfica
sobre los requisitos para el accesos a datos personales a travs de redes de comunicaciones
haga clic aqu y para una informacin ms amplia sobre los niveles de seguridad consulte
la pregunta nmero 7).
Por su parte, la implantacin de servicios de cloud computing incide de forma singular en
algunos elementos del Esquema Nacional de Seguridad como los siguientes:
Anlisis y gestin de riesgos. La migracin de servicios y aplicaciones a entornos de
cloud computing debe ser objeto de un anlisis de riesgos que, en funcin de la sensibi-
lidad de los datos y el nivel de amenazas, determine, en primer lugar, la conveniencia de
esta solucin y, en caso afirmativo, los controles y salvaguardas que deben implantarse
para mitigar los riesgos hasta un nivel que pueda ser considerado aceptable.
Profesionalidad. Conlleva la necesidad de que, en cualquier modalidad de prestacin
de servicios en la nube, la seguridad est atendida, revisada y auditada por personal
cualificado.
Proteccin de la informacin almacenada y en trnsito. Debido a la especial
sensibilidad de los datos tratados por las Administraciones Pblicas, la aplicacin de
tcnicas robustas de cifrado tanto a los datos en trnsito como a los datos almacena-
dos constituye una medida necesaria para garantizar su confidencialidad. Asimismo, el
contrato de prestacin de servicios en la nube debe contemplar la realizacin de copias
de respaldo de la informacin de forma que se garantice la plena disponibilidad e inte-
gridad de los datos almacenados.
Incidentes de seguridad y continuidad de la actividad. La adopcin de modelos
de servicio basados en cloud computing debe contemplar una adecuada gestin de las
incidencias de seguridad y mecanismos que garanticen la continuidad de las operacio-
nes en caso de catstrofes o incidentes severos.
Auditora de la seguridad. La contratacin de servicios de cloud computing exige ga-
rantizar la realizacin de las auditoras de seguridad ordinarias y extraordinarias previstas
en el artculo 34 del ENS.
Este artculo exige requisitos especficos sobre los criterios, mtodos de trabajo y de conducta utili-
zados; los aspectos respecto de los que debe determinar la auditora y los criterios metodolgicos
utilizados.
22
Asimismo contempla los destinatarios de la auditora y las conclusiones que deben realizarse
sobre ella.
Por tanto, la Administracin que contrate servicios de cloud computing debe obtener informacin
sobre cmo cumplir estas obligaciones. (Puede obtener informacin bsica sobre esta obligacin
en la pregunta nmero 7).
Qu requisitos son exigibles en materia de portabilidad e interoperabilidad?
La contratacin de servicios de cloud computing por parte de las Administraciones Pblicas
debe garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de
los derechos de acceso por parte de los ciudadanos, mediante el uso de formatos estan-
darizados de datos que cumplan los requisitos establecidos en el Esquema Nacional de
Interoperabilidad:
Los documentos y servicios de administracin electrnica que se pongan a disposicin
de los ciudadanos o de otras Administraciones Pblicas deben encontrarse disponibles,
como mnimo, mediante estndares abiertos. Asimismo, deben ser visualizables, acce-
sibles y funcionalmente operables en condiciones que permitan satisfacer el principio
de neutralidad tecnolgica y eviten la discriminacin a los ciudadanos por razn de su
eleccin tecnolgica.
Deben adoptarse medidas organizativas y tcnicas necesarias con el fin de garantizar
la interoperabilidad en relacin con la recuperacin y conservacin de los documentos
electrnicos a lo largo de su ciclo de vida.
Conservacin de los documentos electrnicos en el formato en el que hayan sido ela-
borados, enviados o recibidos, y preferentemente en un formato correspondiente a un
estndar abierto que preserve a lo largo del tiempo la integridad del contenido de los do-
cumentos, de la firma electrnica y de los metadatos que lo acompaan. (Puede obtener
ms informacin sobre la portabilidad de los datos en la pregunta nmero 8).
GLOSARIO
IaaS: Infraestructura como servicio. Cuando el proveedor de cloud proporciona a sus clientes
recursos de procesamiento y almacenamiento a travs de la red, sin ningn otro valor aadido.
23
SaaS: Software como servicio. Cuando el proveedor de cloud proporciona al cliente aplicaciones
que implementan los procesos de su empresa.
PaaS: Plataforma como servicio. Cuando el proveedor de cloud proporciona al cliente las herra-
mientas necesarias para desarrollar sus aplicaciones sobre la nube.
Portabilidad: que los datos de un contratista que estn en los servidores del proveedor de cloud
puedan trasladarse a otro proveedor (o a sistemas locales) a eleccin del contratista y sin prdida
de datos ni de servicio.
Localizacin: el punto geogrfico concreto en el que se encuentran los datos o se realiza el pro-
ceso en un servicio de cloud computing.
www.agpd.es