Últimamente una de las palabras que más se oye en los entornos empresariales es el de la “nube “ o Cloud Computing. La relevancia y notoriedad que está adquiriendo está fundamentada en que dejar de pagar licencias por los software ha supuesto toda una revolución, y de paso, el acceso al software libre.
Antes quien necesitaba un software determinado compraba un paquete cerrado, pagaba la licencia anualmente y ya estaba servido. Con el cloud, se evita el pago de las licencias, se elige lo que se necesita y se paga por el uso, es lo que se denomina SAAS (Software As A Service). Ventaja, el precio de adquisición se minimiza y de este modo se hace más accesible a los empresarios de menor tamaño al requerir menos inversión. Sin embargo, puede llegar a tener un “pero”, la legalidad del servicio.
Antes de entrar en detalles legales, es conveniente distinguir los tipos de cloud existentes:
- IAAS (Infraestructure As A Service), en otras palabras, el alquiler de espacio de alojamiento o cloud hosting. Este servicio es el que presta Amazon Web o GoGrid, por poner dos ejemplos.
- PAAS (Platform As A Service), o alquiler de plataformas para desarrolladores.
- SAAS (Software As A Service) que es el tipo más conocido y sirva como ejemplo Google Apps.
Las normas que regulan el Cloud en España en la actualidad es la L.O.P.D. y más concretamente la L.O. 15/1999 LOPD, el R.D. 1720/2007 LOPD (PDF)y el especialmente el artículo 12 de la LOPD.
En la prestación del servicio se distinguen dos figuras:
- Data Controller o responsable de los datos y que coincide con la figura de la empresa cliente de los servicios cloud.
- Data Processor o encargado de tratamiento, siguiendo con el ejemplo anterior, sería Google Apps.
Esta discriminación de figuras tiene una gran relevancia acerca de la responsabilidad de los datos y las posibles responsabilidades de cara a la Agencia de Protección de Datos, ¿por qué?, bien sencillo, el cliente asume la responsabilidad de los datos al contratar el servicio de cloud porque a efectos jurídicos de la prestación del servicio es Data Controller. Sin embargo, ni dispone ni tiene información de donde están los servidores alojados ni las medidas de seguridad de los mismos.
Por otra parte, quien presta el servicio, se exime de la responsabilidad de los datos contenidos, al asumir el rol de Data Processor, porque la transfiere al cliente. Esta cuestión es la más crítica, ya que en busca de la optimización del servicio el Data Processor transfiere los datos a terceros ubicados en distintas localizaciones del planeta y que se conocen como SET o subencargados.
El artículo 12 de la LOPD prohíbe expresamente la transferencia de datos a terceros ni para su conservación, salvo autorización expresa del RT, responsable del tratamiento, conforme al artículo 21 LOPD, de ahí el incumplimiento. Este hecho se agrava porque la propia normativa prohíbe la salida de los datos fuera de los países de la UE, y sólo en casos excepcionales, a un puerto seguro, consideración que tienen muy pocos países como USA, Canadá o Suiza, pero en el caso del cloud ¿quién sabe dónde están los datos?.
En definitiva, el Cloud Computing en la actualidad es una muy buena oportunidad para modernizar las infraestructuras TIC de las empresas más pequeñas, pero hay que tener muy presente que se contrata un servicio que incumple la normativa vigente en lo referente a la protección de datos y que toda la responsabilidad la asume quien contrata el servicio no quien lo presta
Imagen | Carlos de Miguel
Vía | AGPD
En Pymes yAutónomos | Software