El Cloud Computing y la protección de datos personales



Es posible que los datos almacenados en ‘la nube’ se encuentren físicamente en un servidor ubicado en cualquier punto del planeta, cuestión muy relevante en cuanto a protección de datos.



El ‘Cloud Computing’ es un servicios del cual cada día se aprovechan más despachos de abogados, que permite acceder a una serie de servicios, desde el correo electrónico hasta el almacenamiento de documentos, pasando por aplicaciones de gestión del despacho o de bases de datos de jurisprudencia, sin necesidad de disponer de servidores o de software en el propio despacho, ya que los documentos se almacenan en ‘la nube’.

La propia naturaleza de este modelo hace posible que, en principio, estos datos almacenados en ‘la nube’ se encuentren físicamente en un servidor ubicado en cualquier punto del planeta. Esta circunstancia es muy relevante en materia de protección de datos de carácter personal.
A continuación, intentamos plasmar los principales puntos a tener en cuenta a la hora de proteger nuestros datos personales y los de nuestros clientes en el contexto del Cloud Computing.
En primer lugar, es necesario tener en cuenta que el papel del despacho que decide poner en manos de su proveedor de servicios Cloud sus ficheros de carácter personal, según la Ley Orgánica de Protección de Datos (LOPD), es el de ‘responsable del fichero’, mientras que el proveedor de servicios Cloud pasa a ser el ‘encargado del tratamiento del fichero’. De este modo, el proveedor está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos.
Es importante destacar que no todos los datos de carácter personal gozan del mismo nivel de protección. La LOPD establece la existencia de datos especialmente protegidos, entre los que se encuentran, por ejemplo, los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.
Así, la normativa establece tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. Es obligación del encargado del tratamiento articular las medidas necesarias para dotar a los datos del nivel de seguridad correspondiente; y corresponde al responsable del fichero, en este caso el despacho de abogados, exigir a su proveedor de servicios Cloud que articule dichas medidas.
La cuestión más sensible es el lugar donde se almacenan nuestros datos, ya que es probable que no se encuentren en territorio español. En este momento tendremos que contemplar qué ocurre si los datos están almacenados en otro país en el que la LOPD carece de fuerza legal. La normativa vigente establece que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”.
Por consiguiente, hay que distinguir dos posibilidades: el caso para el que en el país en el que se ubiquen los datos exista una legislación equiparable que garantice un adecuado nivel de protección, y el caso en que no.
En el seno de la Unión Europea, se aplican dos directivas traspuestas por los distintos estados miembros a sus respectivas legislaciones nacionales. Esta armonización normativa permite a cualquier despacho acudir a los servicios de almacenamiento de información de un proveedor de Cloud Computing que tenga sus centros de proceso de datos ubicados en la Unión Europea, sin temor a que las obligaciones en materia de protección de datos se vean incumplidas. Estas consideraciones son extensivas a los estados cuyas normativas en la materia son consideradas equiparables a la europea, así como a aquellos proveedores radicados en los EE.UU. que son considerados “safe harbour” (puerto seguro), por adherirse voluntariamente a este protocolo “safe harbour” en virtud del cual se obligan a cumplir requisitos equivalentes a los europeos en materia de protección de datos. En la página web de la Agencia de Protección de Datos pueden consultarse los países cuya regulación en la materia se considera equiparable a la europea.
En los casos en los que el proveedor almacena sus datos en un país cuya normativa de protección de datos no es equiparable a la europea, hay que tener en cuenta que, por un lado, es necesaria la autorización previa de la Agencia de Proyección de Datos para que el responsable de un fichero de datos de carácter personal encargue su tratamiento a una persona o empresa que reside fuera del espacio de legislación armonizada o equiparada. Por otro lado, el contrato de provisión de servicios ha de incorporar cuantas condiciones sean necesarias para suplir la carencia de legislación y trasladar al encargado del tratamiento del fichero las mismas obligaciones que contempla la normativa europea.

Sudespacho.net, como compañía líder en gestión para despachos de abogados y la primera que lanzó soluciones sectoriales para bufetes en la nube en el año 2003, garantiza el absoluto seguimiento de la normativa vigente en cuando a protección de datos personales. Además, ofrece un servicio integral de protección de datos para despachos profesionales, adaptando la actividad de los despachos a la normativa de protección de datos.