PDF de programación - CLOUD COMPUTING: Sujetos que intervienen - Ley aplicable - Garantías

CLOUD COMPUTING:
CLOUD COMPUTING:
Sujetos que intervienen

Ley aplicable
Ley aplicable

Garantías
Garantías

Jesús Rubí Navarrete
Adjunto al Director
Adjunto al Director

Agencia Española de Protección de Datos



CLOUD COMPUTING

• Modalidades de computación en nube:

– Privada
– Privada
– Pública
– Híbrida
– Híbrida
– Comunitaria

• Modalidades de servicios:
• Modalidades de servicios:

– Infraestructura como servicio (IAAS)
– Plataforma como servicio (PAAS)
– Plataforma como servicio (PAAS)
– Software como servicio (SAAS)

• Las modalidades de computación y las modalidades de
• Las modalidades de computación y las modalidades de

servicios condicionan la aplicación de la LOPD

• Formular reflexiones generales que han de adaptarse a
• Formular reflexiones generales que han de adaptarse a

dichas modalidades

Agencia Española de Protección de Datos



POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
LOS INTERVINIENTES

• El cliente como responsable del tratamiento:

– Decisión sobre la finalidad, contenido y uso del
– Decisión sobre la finalidad, contenido y uso del

tratamiento (Art. 3.d) LOPD)
• Decisión sobre optar por la computación en
• Decisión sobre optar por la computación en

nube (total o parcial)

• Decisión sobre la modalidad de computación en
• Decisión sobre la modalidad de computación en

nube (en particular sobre TID)

• Decisión sobre las modalidades de servicios de
• Decisión sobre las modalidades de servicios de

computación en nube

– Responsabilidad sobre el tratamiento de los datos
– Responsabilidad sobre el tratamiento de los datos

personales

– El CCP como encargado de tratamiento
– El CCP como encargado de tratamiento

Agencia Española de Protección de Datos



POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
LOS INTERVINIENTES

• Consecuencias de la posición jurídica de los

intervinientes:
– Ley aplicable: La ley nacional del

responsable/cliente (art. 2.1.a) LOPD) (Salvo
medidas de seguridad en otro EM UE)
medidas de seguridad en otro EM UE)

– Inexistencia de obligación de informar a los

interesados
interesados

– Garantías contractuales ex art. 12 LOPD

Agencia Española de Protección de Datos



CAMBIO DE PARADIGMA

• La relación tradicional responsable/encargado (art. 12
• La relación tradicional responsable/encargado (art. 12

LOPD)
– Instrucciones del responsable al encargado
– Instrucciones del responsable al encargado
– No comunicación a terceros ni siquiera para su

conservación
conservación

– Estipulación de las medidas de seguridad a

implementar por el encargado
implementar por el encargado

– Destrucción o devolución de datos al término de la

prestación
prestación

Agencia Española de Protección de Datos



CAMBIO DE PARADIGMA:
SUBCONTRATACIÓN
SUBCONTRATACIÓN

• Los criterios tradicionales en la subcontratación (art.

21.2 RLOPD y STS de 15 de julio de 2010)
– Especificación de los servicios a subcontratar
– Indicación de las empresas subencargadas
– Autorización del responsable/cliente sobre los

subencargados

– Contrato entre encargados y subencargados
– Contrato entre encargados y subencargados

Agencia Española de Protección de Datos



CAMBIO DE PARADIGMA

• Autonomía del CCP
• Contratos de adhesión
• Selección subencargados (proceso dinámico)
• Oferta de medidas de seguridad
• Opción sobre TID

Agencia Española de Protección de Datos



MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA

• Diligencia exigible al responsable:

– Velar por que el encargado reúna las garantías

exigibles (art. 20.2 RLOPD)
• Obtener información sobre las garantías del

contrato conforme al art. 12 LOPD
contrato conforme al art. 12 LOPD

• Ejercer diligentemente su posición de

responsable sobre el tratamiento de los datos de
responsable sobre el tratamiento de los datos de
los interesados
– Ejercicio de derechos ARCO
– Ejercicio de derechos ARCO
– Responsabilidad por daños

Agencia Española de Protección de Datos



MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA

• Diligencia exigible al encargado (de oficio):
• Diligencia exigible al encargado (de oficio):

– Información detallada sobre la tipología de

computación en nube y de servicios que ofrece
computación en nube y de servicios que ofrece
(tipología de nube, tipología de servicios,
participantes en la prestación de servicios, TID)

– Información sobre medidas de seguridad (niveles
de seguridad, auditoría, encriptación, incidencias
de seguridad). Análisis funcional, no estrictamente
de seguridad). Análisis funcional, no estrictamente
formal

– Información sobre portabilidad
– Información sobre portabilidad

Agencia Española de Protección de Datos



MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA

•
•

Instrucciones del responsable:
Instrucciones del responsable:
– Selección del tipo de computación en nube y de

los servicios a contratar
los servicios a contratar

– Decisión sobre los tratamientos que no se

contratan al CCP (naturaleza de la información,
contratan al CCP (naturaleza de la información,
posible pérdida de control,…)

– Decisión sobre la información solicitada y/o

ofrecida por el CCP

Agencia Española de Protección de Datos



MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA

• Medidas de seguridad:
• Medidas de seguridad:

– Auditoria externa e independiente (incluso cuando
no se exijan medidas de seguridad de nivel medio)
no se exijan medidas de seguridad de nivel medio)
– Comunicación de las incidencias de seguridad que

afecten al cliente/responsable
afecten al cliente/responsable

• Portabilidad (art. 20.3 RLOPD)

– Devolución o migración a un nuevo prestador de
– Devolución o migración a un nuevo prestador de

servicios designado por el responsable

Agencia Española de Protección de Datos



MODULAR LA NORMATIVA
APLICABLE: SUBENCARGADO
APLICABLE: SUBENCARGADO

• Autorización previa sobre empresas subencargadas

– Especificación funcional de los servicios

susceptibles de subcontratación

– Especificación de los niveles de calidad exigibles
– Relación actualizada de entidades subencargadas

(p.ej. Accesible en sitio web con indicación de
(p.ej. Accesible en sitio web con indicación de
países en que opera)

– Tipología de garantías a exigir (incluidas TID)
– Tipología de garantías a exigir (incluidas TID)
• Contratos jurídicamente vinculante en todos los

procesos de tratamiento, conforme a la ley aplicable
procesos de tratamiento, conforme a la ley aplicable
(responsable/encargado. Encargado/subencargado)

• Posibilidad de actuación de la AEPD
• Posibilidad de actuación de la AEPD

Agencia Española de Protección de Datos



MUCHAS GRACIAS
MUCHAS GRACIAS

Agencia Española de Protección de Datos