Cumplimiento LOPD de terceros no ubicados en UE

¿Puedo cumplir con la LOPD si uso aplicaciones de terceros que no estén ubicados en la UE?


Podríamos decir que sí, si cumplimos que:
 
  • Cómo Responsables del Tratamiento de nuestros ficheros, a la hora de contratar servicios en la NUBE, tenemos en cuenta el derecho de los ciudadanos y del ejercicio de responsabilidades nuestras sobre dichos servicios.
  • Identificamos qué proveedores se encuentran dentro del Espacio Económico Europeo (EEE) o, en otros países, que garanticen un nivel adecuado de protección de datos equiparable a la LOPD o, en breve, al Nuevo Reglamento Europeo (General Data Protection Regulation GDPR) ya que ésta localización no sólo va ha afectar a la sede del proveedor del servicio sino también a cada uno de los recursos físicos que emplea para prestar sus servicios.
  • Exigimos un nivel de transparencia de los servicios para tener un control de los datos de los usuarios, además, de constar las garantías contractuales a las que obliga la LOPD.
  • Firmamos un contrato, equivalente a la LOPD, con el proveedor del servicio como Encargado del Tratamiento ya que los contratos que nos facilitan dichos proveedores son contratos cerrados en los que el cada proveedor fija las condiciones con un "contrato tipo" igual para todos sus clientes sin opción a negociar ningún término.
  • Estamos seguros de que dicho proveedor tiene y mantiene en vigencia la Certificación de Puerto Seguro (Safe Harbor) ya que la UE no considera a EUA como un país seguro para almacenar nuestros datos, y por tanto, las transferencias de datos a empresas o servidores norteamericanos están prohibidas por defecto, aunque si éstas almacenan la información en un país cuya legislación en materia de protección de datos sea compatible con la nuestra sí puede realizarse dicha transferencia sin autorización del Director de la AEPD.

Por lo expuesto, y profundizar en este tema, ya que pueden surgir algunos "peros" pasamos a enunciar y resumir las preguntas que expone la AEPD a través de la "Guía para clientes que contraten servicios Cloud":

¿Qué nos encontramos en este tipo de servicios?
 
  • Falta de transparencia sobre las condiciones de la prestación del servicio y,
  • Falta de control sobre el uso y el tratamiento de los datos.

¿Qué deberemos analizar antes de contratar un servicio Cloud?
 
  • Evaluar el tipo de datos que vamos a tratar, diferenciando aquellos que sean sensibles de tratamiento.
  • Informarnos sobre el tipo de nube en la que realizaremos el tratamiento.
  • Verificar que los datos sean utilizados expresamente para la única finalidad de los servicios contratados.

¿Desde la perspectiva LOPD, qué deberemos tener en cuenta como clientes?

Que pasaremos a ser Responsables del Tratamiento de nuestros datos aunque guardemos la información en un Cloud de una empresa multinacional sin un nivel de protección equiparable a la LOPD.

¿Qué normativa tendremos que aplicar?

La Ley Orgánica de Protección de Datos 15/1999 y el Real Decreto RDLOPD 1720/2007.
 
¿Cuáles serán las obligaciones como cliente?

Conocer si en dicho servicio intervienen o no terceras empresas como en el caso de una subcontratación. Normalmente suelen haber servicios de empresas subcontratadas por lo que deberemos de:

1. Dar nuestra conformidad a la participación de estas empresas o, de incluso, delimitar los servicios que nos puedan prestar.
2. Ser conocedores de dichas empresas intervinientes, a través de su web, u otra información facilitada por el prestador del servicio Cloud.
3. Confirmar si el proveedor se responsabiliza de que las empresas subcontratadas ofrecen las mismas garantías legales que él mismo para el tratamiento de nuestros datos.
4. Confirmar que en el contrato con terceras empresas se constan las cláusulas referentes a la protección de datos.

¿Es una cuestión importante donde estén ubicados los datos personales?

Sí, ya que según en qué país estén ubicados los datos, se exige un diferente nivel de seguridad para tratar la información y pueda existir una transferencia internacional de datos, con o sin autorización del Director de la AEPD.

Los países del Espacio Económico Europeo (EEE) ofrecen garantías suficientes, equiparables a la LOPD, para la realización del tratamiento de datos.

En los países que no pertenecen al Espacio Económico Europeo, en los que algunos de ellos no ofrecen garantías suficientes, el tratamiento ya se considera transferencia internacional de datos y se deberán proporcionar garantías jurídicas adecuadas.

¿Cuáles son las garantías adecuadas para la transferencia internacional de datos?
 
  • Se considerará una garantía adecuada que el país de destino, donde esté ubicado el Cloud, ofrezca un nivel de protección equivalente al del EEE y así esté acordado por la Agencia Española de Protección de Datos (AEPD) o la Comisión Europea que, en este caso, sólo será necesario incorporar dicha transferencia en la notificación del fichero.
  • Que las empresas ubicadas en EUA hayan suscrito los principios de Puerto Seguro. Al igual que en el anterior punto, solamente será necesario incorporar dicha transferencia en la notificación del fichero.
  • Cualquier otro país que no cumpla con ninguno de los dos apartados anteriores, para la realización de la transferencia, se deberá obtener la autorización del Director de la Agencia Española de Protección de Datos el cual podrá conceder dicha autorización si el país en cuestión aporte garantías adecuadas.

¿Qué medidas de seguridad son exigibles?
 
  • Deberemos de aplicar las medidas de seguridad exigibles según la tipología de datos (nivel Básico, Medio o Alto) para garantizar la integridad y el tratamiento de los mismos exigiendo el mismo nivel de protección a nuestro proveedor Cloud.
  • Deberemos de exigir que el acceso a la información a través de redes de comunicaciones se realice con las mismas medidas de seguridad aplicadas que en modo local.

¿Cómo podemos saber si se cumplen dichas medidas de seguridad?
 
  • Como clientes deberemos tener la opción de comprobar y saber dichas medidas e incluso los registros que permitan identificar quién ha accedido a los datos de los que es responsable.
  • El proveedor Cloud debería acreditar que dispone de Certificado de Seguridad adecuado.
  • Se podría acordar que una empresa externa auditase la existencia del nivel de seguridad que ofrece nuestro proveedor.
  • Deberíamos ser informados por nuestro proveedor de las incidencias de seguridad ocurridas durante el tratamiento de los datos y de las resoluciones de las mismas.
  • Si los datos se guardan de forma encriptada.

¿Qué compromisos de confidencialidad podemos exigir?
 
  • El proveedor Cloud debe comprometerse en garantizar la confidencialidad del uso de los datos para la única finalidad a la que ha sido contratado.
  • Deberá dar instrucciones al personal que dependa de él para que mantenga dicha confidencialidad.

¿Cómo garantizo que puedo recuperar los datos personales de los que soy Responsable (portabilidad)?
 
  • Pidiendo al proveedor las garantías de portabilidad en caso necesario.
  • El proveedor ha de obligarse a entregar toda la información y datos a la empresa cliente una vez haya finalizado el contrato de prestación del servicio Cloud en el formato que se acuerde.
  • El cliente podrá pedir la portabilidad de los datos en caso de detectar una inadecuada intervención de alguna empresa subcontratada o de realizarse una transferencia a un país que no aporte garantías adecuadas.

¿Cómo podemos asegurarnos si el proveedor Cloud no guarda los datos una vez ha finalizado el contrato?
 
Deberemos prever dicho asunto de manera que se garantice el borrado de los datos al finalizar el contrato, como por ejemplo, exigir un "Certificado de Destrucción" de la información emitido por el mismo proveedor o empresa externa.

¿Cómo podemos garantizar el ejercicio de los Derechos ARCO?
 
  • Como Responsables del Tratamiento, deberemos garantizar el ejercicio de los Derechos ARCO, a través de nuestra cooperación y herramientas adecuadas para la atención de dichos derechos.
  • Deberemos de informarnos sobre las condiciones que ofrece el proveedor Cloud para cumplir con ese deber de cooperación para garantizar el ejercicio de estos derechos.


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

ENTENDIDO