Publicado el 18 de Mayo del 2017
1.090 visualizaciones desde el 18 de Mayo del 2017
1,1 MB
13 paginas
Creado hace 12a (27/01/2012)
CLOUD COMPUTING:
CLOUD COMPUTING:
Sujetos que intervienen
Ley aplicable
Ley aplicable
Garantías
Garantías
Jesús Rubí Navarrete
Adjunto al Director
Adjunto al Director
Agencia Española de Protección de Datos
CLOUD COMPUTING
• Modalidades de computación en nube:
– Privada
– Privada
– Pública
– Híbrida
– Híbrida
– Comunitaria
• Modalidades de servicios:
• Modalidades de servicios:
– Infraestructura como servicio (IAAS)
– Plataforma como servicio (PAAS)
– Plataforma como servicio (PAAS)
– Software como servicio (SAAS)
• Las modalidades de computación y las modalidades de
• Las modalidades de computación y las modalidades de
servicios condicionan la aplicación de la LOPD
• Formular reflexiones generales que han de adaptarse a
• Formular reflexiones generales que han de adaptarse a
dichas modalidades
Agencia Española de Protección de Datos
POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
LOS INTERVINIENTES
• El cliente como responsable del tratamiento:
– Decisión sobre la finalidad, contenido y uso del
– Decisión sobre la finalidad, contenido y uso del
tratamiento (Art. 3.d) LOPD)
• Decisión sobre optar por la computación en
• Decisión sobre optar por la computación en
nube (total o parcial)
• Decisión sobre la modalidad de computación en
• Decisión sobre la modalidad de computación en
nube (en particular sobre TID)
• Decisión sobre las modalidades de servicios de
• Decisión sobre las modalidades de servicios de
computación en nube
– Responsabilidad sobre el tratamiento de los datos
– Responsabilidad sobre el tratamiento de los datos
personales
– El CCP como encargado de tratamiento
– El CCP como encargado de tratamiento
Agencia Española de Protección de Datos
POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
LOS INTERVINIENTES
• Consecuencias de la posición jurídica de los
intervinientes:
– Ley aplicable: La ley nacional del
responsable/cliente (art. 2.1.a) LOPD) (Salvo
medidas de seguridad en otro EM UE)
medidas de seguridad en otro EM UE)
– Inexistencia de obligación de informar a los
interesados
interesados
– Garantías contractuales ex art. 12 LOPD
Agencia Española de Protección de Datos
CAMBIO DE PARADIGMA
• La relación tradicional responsable/encargado (art. 12
• La relación tradicional responsable/encargado (art. 12
LOPD)
– Instrucciones del responsable al encargado
– Instrucciones del responsable al encargado
– No comunicación a terceros ni siquiera para su
conservación
conservación
– Estipulación de las medidas de seguridad a
implementar por el encargado
implementar por el encargado
– Destrucción o devolución de datos al término de la
prestación
prestación
Agencia Española de Protección de Datos
CAMBIO DE PARADIGMA:
SUBCONTRATACIÓN
SUBCONTRATACIÓN
• Los criterios tradicionales en la subcontratación (art.
21.2 RLOPD y STS de 15 de julio de 2010)
– Especificación de los servicios a subcontratar
– Indicación de las empresas subencargadas
– Autorización del responsable/cliente sobre los
subencargados
– Contrato entre encargados y subencargados
– Contrato entre encargados y subencargados
Agencia Española de Protección de Datos
CAMBIO DE PARADIGMA
• Autonomía del CCP
• Contratos de adhesión
• Selección subencargados (proceso dinámico)
• Oferta de medidas de seguridad
• Opción sobre TID
Agencia Española de Protección de Datos
MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA
• Diligencia exigible al responsable:
– Velar por que el encargado reúna las garantías
exigibles (art. 20.2 RLOPD)
• Obtener información sobre las garantías del
contrato conforme al art. 12 LOPD
contrato conforme al art. 12 LOPD
• Ejercer diligentemente su posición de
responsable sobre el tratamiento de los datos de
responsable sobre el tratamiento de los datos de
los interesados
– Ejercicio de derechos ARCO
– Ejercicio de derechos ARCO
– Responsabilidad por daños
Agencia Española de Protección de Datos
MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA
• Diligencia exigible al encargado (de oficio):
• Diligencia exigible al encargado (de oficio):
– Información detallada sobre la tipología de
computación en nube y de servicios que ofrece
computación en nube y de servicios que ofrece
(tipología de nube, tipología de servicios,
participantes en la prestación de servicios, TID)
– Información sobre medidas de seguridad (niveles
de seguridad, auditoría, encriptación, incidencias
de seguridad). Análisis funcional, no estrictamente
de seguridad). Análisis funcional, no estrictamente
formal
– Información sobre portabilidad
– Información sobre portabilidad
Agencia Española de Protección de Datos
MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA
•
•
Instrucciones del responsable:
Instrucciones del responsable:
– Selección del tipo de computación en nube y de
los servicios a contratar
los servicios a contratar
– Decisión sobre los tratamientos que no se
contratan al CCP (naturaleza de la información,
contratan al CCP (naturaleza de la información,
posible pérdida de control,…)
– Decisión sobre la información solicitada y/o
ofrecida por el CCP
Agencia Española de Protección de Datos
MODULAR LA NORMATIVA
APLICABLE: TRANSPARENCIA
APLICABLE: TRANSPARENCIA
• Medidas de seguridad:
• Medidas de seguridad:
– Auditoria externa e independiente (incluso cuando
no se exijan medidas de seguridad de nivel medio)
no se exijan medidas de seguridad de nivel medio)
– Comunicación de las incidencias de seguridad que
afecten al cliente/responsable
afecten al cliente/responsable
• Portabilidad (art. 20.3 RLOPD)
– Devolución o migración a un nuevo prestador de
– Devolución o migración a un nuevo prestador de
servicios designado por el responsable
Agencia Española de Protección de Datos
MODULAR LA NORMATIVA
APLICABLE: SUBENCARGADO
APLICABLE: SUBENCARGADO
• Autorización previa sobre empresas subencargadas
– Especificación funcional de los servicios
susceptibles de subcontratación
– Especificación de los niveles de calidad exigibles
– Relación actualizada de entidades subencargadas
(p.ej. Accesible en sitio web con indicación de
(p.ej. Accesible en sitio web con indicación de
países en que opera)
– Tipología de garantías a exigir (incluidas TID)
– Tipología de garantías a exigir (incluidas TID)
• Contratos jurídicamente vinculante en todos los
procesos de tratamiento, conforme a la ley aplicable
procesos de tratamiento, conforme a la ley aplicable
(responsable/encargado. Encargado/subencargado)
• Posibilidad de actuación de la AEPD
• Posibilidad de actuación de la AEPD
Agencia Española de Protección de Datos
MUCHAS GRACIAS
MUCHAS GRACIAS
Agencia Española de Protección de Datos
Comentarios de: CLOUD COMPUTING: Sujetos que intervienen - Ley aplicable - Garantías (0)
No hay comentarios