Sigo con el resumen de la Opinión 5/2012, del WP 29. Quería ser breve y mira tú por dónde vamos…

Más características de la relación entre las partes, es decir, cliente y proveedor del servicio de cloud computing.

Muchas empresas de cloud computing subcontratan algunos de sus servicios, sobre todo para el almacenamiento de datos. El WP 29 se ha fijado en esta práctica que, si bien es fácil de entender en los procesos de economía de mercado, tienen su intríngulis jurídico.

La empresa cliente sólo podrá aceptar que su proveedor subcontrate parte o la totalidad de los servicios contratados, si ha sido informada previamente de la existencia de un subcontrato. En este último caso, que el cliente tiene que aceptar expresamente, se debe dejar claras las responsabilidades de cada una de las partes, no vaya a ser que las responsabilidades se dispersen a lo largo de la cadena de outsourcing. Esta última frase me ha gustado particularmente, porque tiene como objetivo evitar aquello de «esto no depende de mí«. Pero nada como la siguiente frase, que prefiero dejar en inglés, que suena más amenazadora: «There should be a clear obligation of the cloud provider to name all the subcontractors commissioned«.

Tercer consejono contrates con empresas que subcontratan. Como esto es difícil que pase, que conste en el contrato quién paga los platos rotos, es decir, el proveedor del servicio con el que contratas y no cualquier empresa desconocida, a lo largo de la cadena de subcontratos.

La Opinión del WP 29 recomienda que se dejen claros unos asuntos más. Los datos personales almacenados en la nube (ya de paso, extendemos esta precaución a todo tipo de datos almacenados) deberán ser eliminados cuando ya no sean necesarios. Es decir, el proveedor podrá guardar una copia de los datos para demostrar que ha hecho bien su trabajo; pero, cuando hayan vencido los plazos para la responsabilidad contractual, deberá eliminarlos. Esta obligación también debe quedar reflejada en el contrato. Es más, se deberá solicitar, por parte de la empresa cliente, prueba de la destrucción de los datos. 

En realidad, esta última advertencia es una de las muchas presentes en la Opinión 5/2012, que, en la legislación española, están bien descritas en el art. 12 LOPD. Así que obviamos estos puntos.

Más puntos interesantes que hay que tener en cuenta: la transferencia internacional de datos. Como reconoce el WP 29, los datos pueden estar a las 2pm en un sitio, y a las 4pm en la otra punto del mundo. Esto es la esencia del cloud computing. Los encargados del tratamiento, como son los proveedores de estos servicio, pueden esgrimir que ellos son Safe Harbour y, por lo tanto, no tienen que pasar por el filtro de las autorizaciones previas para las transferencias internacionales de datos.

Bueno, por eso no basta. Cuarto consejo: la empresa que contrata el servicio de cloud computing debe exigir pruebas que demuestren el cumplimiento de las normas en materia de protección de datos. Ah, y las normas deben ser las del País de la empresa cliente, no del País de la empresa proveedora.

 Finalmente, el WP 29 aconseja utilizar las cláusulas previstas en la Decisión de la Comisión 2010/87/UE, que adjunto. Las cláusulas están en el anexo.decision_comm_clausulas_contractuales_2010

Enumero los consejos:

  1. La empresa proveedora del servicio de cloud computing debe radicar en un País de la UE.
  2. No aceptes cláusulas cerradas o, por lo menos, comprueba que las mismas sean conforme a la Decisión de la Comisión 2010/87/UE.
  3. Ten cuidado con las subcontratas. O quedan claras las responsabilidades de cada una de las partes, o, en caso de problemas, no podrás defender tus intereses.
  4. Si la empresa proveedora es Safe Harbour, exige que demuestre su estatus y que cumple la LOPD.