Las Administraciones Públicas gestionan un gran volumen de datos sensibles que soportan unos riesgos específicos por lo que deben contemplarse de forma rigurosa los escenarios en los que se van a plantear su utilización. Debido a esto, es aconsejable tomar medidas de precaución adicionales en su implantación con el fin de garantizar los derechos y la seguridad de los ciudadanos.
Debido a las características del Cloud Computing que hacen posible que los datos que manejan las Administraciones puedan tratarse fuera del territorio nacional, debe tenerse en cuenta la normativa que regula los movimientos internacionales de datos y que es aplicable tanto a empresas privadas como públicas.
En concreto, debe tenerse muy presenta que Autoridades competentes de terceros países en los que se traten datos personales en el mercado de los servicios de cloud computing podrían solicitar y acceder a la información de la que las Administraciones públicas son responsables, en algunos casos, sin que se le informe de esta circunstancia.
Debido a esto es imprescindible obtener información del prestador de servicios de cloud computing en caso de que exista la posibilidad en alguno de los países donde se vayan a tratar los datos, si la Administración contratante puede conocer o no tales requerimientos, así como las decisiones que puede tomar al respecto. La trascendencia de estos posibles accesos es un factor muy relevante para decidir sobre la contratación de estos servicios y el proveedor que los vaya a prestar.
Además de la LOPD y de su reglamento de desarrollo, las Administraciones Públicas están sujetas a un marco legal específico al cual debe adecuarse la prestación de servicios basados en cloud computing:
– Ley de Contratos del Sector Público. (RD Legislativo 3/2011, de 14 de noviembre)
– Ley 11/2007 de Acceso Electrónicos de los Ciudadanos a los Servicios Públicos, y
RD 1671/2009 que desarrolla parcialmente esta ley.
– El Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI)
(Reales Decretos 3/2010 y 4/2010, de 8 de enero).
¿Qué aspectos deben tenerse en cuenta al contratar servicios de ‘cloud computing’?
Se requiere la formalización de un contrato escrito en los términos previstos en el art. 12 de la Ley de Protección de datos y en los artículos 20 a 22 de su reglamento de desarrollo para la contratación de servicios de cloud computing por parte de las Administraciones Públicas el tratamiento de datos de carácter personal.
En la disposición adicional vigesimosexta del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, se recogen explícitamente estos requisitos:
• El prestador de servicios de computación en la nube tendrá la consideración de encargado de tratamiento.
• Al término de la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado.
En cuanto a la posible subcontratación de servicios por parte del encargado de tratamiento, esta disposición cita que deberá reunir los siguientes requisitos:
• Que dicho tratamiento se haya especificado en el contrato firmado por la administración
contratante y el prestador de servicios de computación en la nube.
• Que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la
administración que actúa como responsable del tratamiento.
• Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD.
Los contratos de prestación de servicios de cloud computing deben especificar las medidas técnicas y organizativas que el prestador de servicios tiene previsto implantar para garantizar la seguridad de los datos. Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por las Administraciones Públicas (por ejemplo en el caso de las sedes electrónicas) deben reflejarse en el contrato mediante un acuerdo de nivel de servicio (SLA) en el que se especifiquen los indicadores de calidad de servicio que van a ser medidos y los valores mínimos aceptables de los mismos.
– En ciertos casos, la complejidad de los servicios contratados puede aconsejar la designación de un responsable del contrato en los términos previstos en el artículo 52 del RDL 3/2011, de 14 de noviembre, con el fin de asegurar la correcta realización de la prestación pactada.
No obstante, la designación de dicha figura no modifica el régimen de obligaciones y responsabilidades al que está sujeto el responsable del tratamiento en materia de protección de datos de carácter personal.
Fuente: Guía para clientes que contraten servicios de Cloud Computing
