Contratación de Cloud Computing ubicado en EEUU

¿Qué ocurre en el supuesto de que se contrate el servicio a un proveedor de Cloud Computing con domicilio en EEUU, adherido a Puerto Seguro (Safe Harbor)?


Este proveedor puede tener centros de datos en otros países, ¿cómo afecta esto, dado que no podemos saber, si hoy, nuestros datos están en USA y mañana en Tokio? ¿por la mera certificación Safe Harbor este prestador podría tener sus servidores de almacenamiento en China?



• La prestación de servicios desde Estados Unidos a una empresa española supone una Trasferencia Internacional de Datos (TID).

• Las entidades estadounidenses adheridas a Safe Harbor tienen reconocido por la Comisión de Europa un adecuado nivel de protección (Decisión 2000/520/CE).

• Esta TID no requiere de autorización del Director de la Agencia.

• Se requiere un contrato de prestación de servicios con acceso a datos (art. 12 LOPD y arts. 20-22 RLOPD, FAQ nº 10 Decisión 2000/520/CE).

• En el contrato de prestación de servicios se pueden autorizar posibles subcontrataciones en caso de que existan.

• El principio de transferencias ulteriores de Safe Harbor limita al prestador de servicios la subcontratación a otras entidades adheridas a Safe Harbor o mediante un contrato que exija el cumplimiento de los principios de protección de datos (encadenamiento de garantías).

• El responsable debe autorizar la subcontratación y conocer la identidad de los subencargados. Podría ser una condición de la contratación inicial tener disponible, por parte del prestador, de servicios CC información sobre la identificación y ubicación de los subencargados.

• Por lo tanto, el prestador de servicios EEUU-Safe Harbor podrá tener recursos en otros lugares asegurando que se continúan aplicando los mismos principios de protección de datos.
 

¿Cómo proceder con empresas americanas de Cloud que operan en España y que no pertenezcan a Puerto Seguro? ¿Se necesita petición de permiso expreso a la AEPD? ¿Si fuera el caso, cuánto tardaría?



• La prestación de servicios de tratamiento de datos en terceros países suponen una transferencia internacional de datos que requiere la autorización del Director de la Agencia Española de Protección de Datos.

• La solicitud de autorización de transferencia internacional de datos requiere la presentación del contrato basado en cláusulas contractuales tipo entre el responsable del fichero y el encargado del tratamiento.

• El procedimiento está regulado en el RLOPD (arts. 137-140).

• El plazo de tramitación es de 3 meses.



Fuente: AEPD


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

ENTENDIDO