Aspectos legales a considerar en los servicios en la nube para las Pymes.

Hay varios aspectos legales a tener en consideración en materia de seguridad en cuanto a computación en la nube se refiere:

  • La necesaria y comprometida aplicación de los datos personales. La normativa aplicable: LOPD y Reglamento de la LOPD.
  • La Ley de Servicios de la Sociedad de Información. LSSI.
  • La delicada contratación de servicios en la nube.

Toda empresa necesita proteger la confidencialidad y seguridad de sus propios datos y de su propia información. Para ello es preciso que el prestador de servicios considere los siguientes aspectos legales:

  • Ofrezca información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información.
  • Garantice la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
  • Establezca mecanismos seguros de autenticación para el acceso a la información tanto por parte de las personas autorizadas de la empresa como de los clientes.
  • Estipular el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la empresa y el proveedor.
  • Evidentemente todos estos aspectos técnicos deben de trasladarse a un contrato de servicios entre la empresa y su proveedor que recoja estos aspectos legales mediante las garantías jurídicas necesarias en caso de incumplimiento por parte del proveedor, con la finalidad última de que la empresa no sufra perjuicio alguno.

Es preciso que los datos de carácter personal que sean objeto de tratamiento en la empresa se guarden en un lugar que cuente con las medidas de seguridad exigidas por la normativa española de protección de datos y todos los aspectos legales relacionados. Pero como estos datos se sitúan en un servidor cuya ubicación física desconoce el responsable, hay tres aspectos esenciales que deben ser tenidos en cuenta a la hora de decidir contratar servicios de Cloud Computing:

  • La empresa es el responsable del tratamiento de los datos y del cumplimiento de los aspectos legales de la normativa aplicable.
  • El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento. Trata datos personales por cuenta del responsable.
  • Depende del lugar físico donde se ubique el servidor, puesto que lo que tenemos que lograr es que la normativa aplicable de los aspectos legales relacionados, sea la española y/o europea. Para ello, mientras el servidor contratado se encuentre ubicado en España u otro país comunitario, no hay problema. Pero cuando el servidor no tenga esta nacionalidad, debemos recurrir a cláusulas específicas que concluyan la remisión a la legislación nacional o, al menos, de un estado miembro de la Unión Europea.

¿Cuál es la solución? Que el cliente responsable del tratamiento, cuando contrate servicios de Cloud Computing, se asegure de que el prestador de servicios cumpla con todos los aspectos legales de la normativa española de protección de datos personales, esto es, la LOPD y su reglamento de desarrollo. Por tanto, es preciso blindar los contratos con cláusulas que garanticen la protección de los interesados antes señaladas.

En cualquier caso, dada la pertenencia de España a la Unión Europea, estas adaptaciones deben hacerse dentro del marco de la Directiva comunitaria sobre protección de datos (Directivas 95/46/CE y 2002/58/CE) en la que se recogen todos los aspectos legales de obligado cumplimiento en materia de seguridad de la información.

Nuevo Reglamento General de Protección de Datos de la UE para Pymes.

A finales del año pasado, el Parlamento Europeo y el Consejo alcanzaron un acuerdo sobre el Reglamento General de Protección de Datos (RGPD) propuesto por la Comisión Europea. La nueva normativa entrará en vigor a principios de 2018 y representará el mayor cambio en la legislación para la protección de datos desde la aparición de Internet. Afectará a cualquier empresa u organismo en cualquier parte del mundo que opere con datos de origen europeo.

Las reformas, cuyo objetivo es reflejar las necesidades cambiantes de la economía digital y defender los derechos a la privacidad de los datos de las personas, podrían ser difíciles de aplicar en el caso de la información en papel. Para ayudar a las Pymes a que sus archivos en papel no infrinjan la normativa, hemos preparado la siguiente guía que recoge los aspectos clave del Reglamento General de Protección de Datos:

  1. Asegúrese de que puede encontrar la información que necesita. Antes de identificar o borrar la información, tendrá que poder encontrarla. La reforma blindará el “derecho al olvido” del consumidor en la legislación europea y las empresas tendrán que responder a las peticiones de borrado de información personal. Desgraciadamente, es fácil borrar datos digitales de una base de datos, pero no lo es tanto eliminarlos cuando están en formato físico.

Se aconseja a las Pymes que identifiquen qué departamentos y equipos de trabajo son los que tienen más probabilidades de crear y almacenar archivos que contengan información personal identificable y de priorizar su escaneado y traslado a almacenes seguros externos. Las Pymes también deberían implementar y hacer cumplir un sistema claro de archivo e identificación para todos los datos en papel, con etiquetas y metadatos marcados en las cajas y con responsabilidades y derechos de acceso definidos.

  1. El papel tiene una doble o triple vida. Procesos claramente definidos para gestionar la información desde su creación hasta su destrucción pueden no ser suficientes. El papel se puede escurrir a través de fisuras en las políticas más estrictas de clasificación y almacenamiento de la información, al poder ser copiado o impreso fácilmente, susceptible además de ser abandonado en cualquier sitio, sin ningún cuidado, o incluso de ser trasladado fuera del entorno de un edificio seguro. El informe de PwC de 2015 sobre la Aplicación de la Privacidad y la Seguridad revela que los incidentes de seguridad de los datos en Europa son mayormente debidos a errores humanos a la hora de gestionar documentos en papel. Cada empleado debería entender qué es información confidencial y cómo hay que gestionarla.
  1. El nuevo reglamento quiere que se reflexione acerca de la privacidad, influyendo en cómo se produce, gestiona y elimina la información. Si hablamos de información en papel, los procesos de gestión serán fundamentales. Se recomienda a las Pymes que dificulten o hagan imposible que personas no autorizadas accedan o copien documentos que contengan información personal identificable. El almacenamiento, retención y destrucción de la información son procesos que deberían ser revisados bajo la premisa de privacidad y ser adaptados en el caso de ser necesario.
  1. Algunas reglas simplemente no son válidas. Aspectos de la nueva regulación, tales como la portabilidad de los datos serán difíciles de aplicar a la información que únicamente está archivada en papel. En algunos casos esto será una ventaja. Por ejemplo, serán innecesarias medidas robustas de ciberseguridad, porque el papel no puede sufrir ciberataques.

Existe una gran cantidad de recomendaciones disponibles para las organizaciones empresariales sobre cómo prepararse bien para la nueva legislación, pero casi todo está centrado en los datos electrónicos y la seguridad tecnológica, ignorando el papel y dejándolo a su propio riesgo.

ENLACES: REGLAMENTO  LOPD AUTONOMOS

Aspectos legales a considerar al contratar servicios en la nube.

Hay varios aspectos legales a tener en consideración en materia de seguridad en cuanto a computación en la nube se refiere:

• La necesaria y comprometida aplicación de los datos personales. La normativa aplicable: LOPD y Reglamento de la LOPD.

• La Ley de Servicios de la Sociedad de Información.

• La delicada contratación de servicios en la nube.

Toda empresa necesita proteger la confidencialidad y seguridad de sus propios datos y de su propia información. Para ello es preciso que el prestador de servicios considere los siguientes aspectos legales :

• Ofrezca información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información.

• Garantice la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• Establezca mecanismos seguros de autenticación para el acceso a la información tanto por parte de las personas autorizadas de la empresa como de los clientes.

• Estipular el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la empresa y el proveedor.

• Evidentemente todos estos aspectos técnicos deben de trasladarse a un contrato de servicios entre la empresa y su proveedor que recoja estos aspectos legales mediante las garantías jurídicas necesarias en caso de incumplimiento por parte del proveedor, con la finalidad última de que la empresa no sufra perjuicio alguno.

Es preciso que los datos de carácter personal que sean objeto de tratamiento en la empresa se guarden en un lugar que cuente con las medidas de seguridad exigidas por la normativa española de protección de datos y todos los aspectos legales relacionados. Pero como estos datos se sitúan en un servidor cuya ubicación física desconoce el responsable, hay tres aspectos esenciales que deben ser tenidos en cuenta a la hora de decidir contratar servicios de Cloud Computing:

• La empresa es el responsable del tratamiento de los datos y del cumplimiento de los aspectos legales de la normativa aplicable.

• El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento. Trata datos personales por cuenta del responsable.

• Depende del lugar físico donde se ubique el servidor, puesto que lo que tenemos que lograr es que la normativa aplicable de los aspectos legales relacionados, sea la española y/o europea. Para ello, mientras el servidor contratado se encuentre ubicado en España u otro país comunitario, no hay problema. Pero cuando el servidor no tenga esta nacionalidad, debemos recurrir a cláusulas específicas que concluyan la remisión a la legislación nacional o, al menos, de un estado miembro de la Unión Europea.

¿Cuál es la solución? Que el cliente responsable del tratamiento, cuando contrate servicios de Cloud Computing, se asegure de que el prestador de servicios cumpla con todos los aspectos legales de la normativa española de protección de datos personales, esto es, la LOPD y su reglamento de desarrollo. Por tanto, es preciso blindar los contratos con cláusulas que garanticen la protección de los interesados antes señaladas.

En cualquier caso, dada la pertenencia de España a la Unión Europea, estas adaptaciones deben hacerse dentro del marco de la Directiva comunitaria sobre protección de datos (Directivas 95/46/CE y 2002/58/CE) en la que se recogen todos los aspectos legales de obligado cumplimiento en materia de seguridad de la información.

ENLACES:  AGENCIA ESPAÑOLA DE PROTECCION DE DATOS      SEGURIDAD INTECO