Hace unos días, un cliente me preguntaba: «Voy a pasarme al cloud computing, ¿qué proveedor me aconsejas?». Quien me ha hecho la pregunta es alguien que sabe manejar redes y servidores, así que su necesidad de consejo no era tanto técnica, sino más bien legal.
He pensado: «¿Nadie ha escrito nada sobre este asunto?«. Así que me he puesto a buscar y he encontrado cosas interesantes. Miralles López ha escrito un interesante artículo en la revista de la UOC, pero yo buscaba unas reflexiones más actuales. Javier Álvarez también da buena cuenta de las características del cloud computing, a la luz de la LOPD, en este artículo. Hasta la Agencia Española de Protección de Datos (AEPD) ha expresado su opinión en mérito, aunque circunscrita a los despachos de abogados, como clientes de la computación en la nube.
Nada me he encontrado (¿me estará fallando San Google?) sobre la Opinión 5/2012, del Grupo del Artículo 29 (WP 29) sobre esta materia. Así que me he leído la Opinion 5/2012 WP 29 y aquí va mi micro resumen.
Como no podía ser de otra forma, la Opinión del WP 29 arranca con un análisis de los riesgos, clasificando éstos en dos grandes categorías: la escasez de control y la ausencia de transparencia.
Después de unas premisas de carácter técnico sobre las características del servicio, la Opinión entra directamente en la temática jurídica.
En los casos en los que las partes contratantes pertenecen a Países (y hasta continentes) distintos, ¿qué legislación es aplicable? El WP 29 lo tiene clarísimo: «La legislación aplicable es la del País en el que el Responsable del Fichero (mi cliente de Alicante) está establecido«, siendo indiferente el lugar donde esté la empresa que proporciona el servicio de cloud computing.
Así que, primer consejo para mi cliente: busca una empresa que esté establecida en la UE.
La Opinión sigue con el establecimiento de las responsabilidades de las partes del contrato, entre el cliente (responsable de los datos personales, es decir, Responsable del Fichero) y la empresa que proporciona el servicio (Encargado del Tratamiento, según la terminología LOPD).
Estas partes deben firmar necesariamente un contrato cuyas características están previstas en el art. 12 LOPD. El WP 29 también deja otro claro aviso a navegantes:
«La falta de equilibrio en las relaciones contractuales entre una pequeña empresa, Responsable del Fichero, y una gran empresa que proporciona el servicio de cloud computing no debe ser considerada como excusa para aceptar cláusulas y condiciones contractuales que no permitan un cabal cumplimiento de la legislación en materia de protección de datos»
Segundo consejo para mi cliente: busca una empresa que te escuche y con la que puedas negociar las cláusulas; no aceptes un contrato de adhesión tipo «o lo tomas o lo dejas«.
Jesús Pérez Serna - Marketing Positivo
Yo hice hace tiempo un experimento sobre la materia: http://marketingpositivo.blogspot.com.es/2008/10/tus-datos-estn-por-las-nubes-2-y-quin.html
No se si el asunto habrá mejorado con el tiempo. En cualquier caso espero con interés el resto de posts de la serie 🙂
Amedeo Maturo
Creo que mañana sale la segunda parte… Stay tuned 😉