Protección de Datos en la Nube: Qué es, leyes y prácticas recomendadas

El uso de la nube o de servicios de cloud computing por parte de las empresas, puede implicar en muchos casos el uso de datos personales en la nube, ya sea para su almacenamiento o para su gestión. Por lo tanto, se produce un tratamiento de datos que necesariamente implica cumplir con las obligaciones de la normativa de protección de datos. En este artículo hablaremos de la protección de datos en la nube y lo que significa para las empresas.

¿Qué es la protección de datos en la nube?

Cuando hablamos de protección de datos en la nube, debemos distinguir entre la protección de datos como servicio (DPaaS), que funciona a través de la nube (si bien no significa que sea un servicio de protección de datos en el sentido de cumplir con la ley), y cuando una empresa contrata un servicio en la nube, del que se deriva un tratamiento de datos personales (como puede ser por ejemplo, almacenar y gestionar bases de datos de clientes y empleados).

En este artículo, vamos a hablar del segundo caso, es decir, de la protección de datos personales en la nube para empresas que contratan servicios que implican el uso de la nube.

En ese sentido, la protección de datos en la nube consiste en la adopción, tanto por parte del proveedor del servicio como de quien lo contrata, de las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos subidos a la nube.

Así, la protección de tus datos en la nube depende de dos actores, el servicio al que has cedido tus datos personales y el proveedor de servicios en la nube que este ha contratado y que implica el tratamiento de tus datos (sea solo como almacenamiento o para su gestión).

¿Por qué es importante la protección de datos en la nube?

La protección de datos en la nube es importante porque es una obligación legal; si como empresa o autónomo subimos datos personales a la nube (a través de un servicio de cloud computing, como pueden ser Dropbox, Google Drive o un servicio SaaS que requiere la cesión de datos personales), debemos tener en cuenta que estamos ante un tratamiento de datos personales y que, por tanto, debemos cumplir con las obligaciones del RGPD y la LOPDGDD, puesto que somos responsables de la seguridad, confidencialidad, integridad y disponibilidad de dichos datos.

Además, estamos «confiando» dichos datos a un tercero, el proveedor de un servicio cloud, que, aunque también debe cumplir con la normativa de protección de datos, es responsabilidad nuestra como responsable del tratamiento de hacer las debidas comprobaciones para asegurarnos de que cumple con dicha normativa. Esto implica también saber dónde se encuentran los servidores del proveedor, dónde se almacenan los datos, qué medidas de seguridad tiene implementadas, si subcontrata algún servicio, que garantías ofrece, etc.

Como responsables del tratamiento debemos asegurarnos de que los datos en la nube de nuestros clientes o usuarios están debidamente protegidos y a salvo de accesos no autorizados o filtraciones, así como que no son usados con fines diferentes a los acordados (como, por ejemplo, fines publicitarios).

En ese sentido (como ocurre con la protección de datos en las redes sociales cuando se usan con un perfil profesional), y como veremos más adelante, para una empresa o autónomo no solo basta con conocer la política de privacidad de un servicio en la nube (como puede ser, por ejemplo, la política de privacidad en Google Drive para quienes usen esta nube de uso gratuito), sino que habrá que conocer a fondo cómo y dónde almacena y/o gestiona los datos el proveedor del servicio, sus medidas de seguridad y establecer determinadas condiciones en un contrato, del que hablaremos más adelante.

¿Cómo proteger los datos en la nube? Prácticas recomendadas

Debemos tener en cuenta que a la hora de contratar un servicio en la nube, que requiera del tratamiento de datos personales, son dos los actores que deben ocuparse la protección de datos en la nube; el responsable del tratamiento, es decir, la empresa que contrata el servicio en la nube, y, por otro lado, la empresa proveedora del servicio, que será la encargada del tratamiento.

En general, las medidas de seguridad para proteger la información y los datos y evitar la pérdida, robo o alteración no autorizada de los mismos, dependen básicamente de la empresa proveedora, pero, como ocurre con la protección de datos en la web, la empresa responsable del tratamiento también debe tomar y aplicar sus propias medidas de seguridad para evitar incidentes de seguridad desde su lado.

Hacer inventario de los datos confidenciales

No todos los datos que se subirán a la nube tendrán el mismo nivel de confidencialidad ni requerirán la aplicación de las mismas medidas de seguridad; por ello, un primer paso para realizar una adecuada protección de datos en la nube es hacer un inventario de los datos personales que se van a subir a ella.

Este inventario, además, deberá contener información sobre el tipo de datos, su categoría, su plazo de conservación, etc., para saber qué medidas de seguridad deben aplicarse.

Así mismo, conocer qué y cuántos datos están almacenados en la nube podrá ayudarnos a saber qué datos pueden verse afectados en un incidente de seguridad (si, además, tenemos copias de seguridad de los mismos, también podremos reponerlos con facilidad y sin sufrir su pérdida definitiva).

Emparejar el cifrado con la autenticación

Aparte de crear contraseñas seguras y robustas y establecer un control de acceso a los datos en la nube basado en roles y niveles de responsabilidad, es recomendable combinar la autenticación con el cifrado de los archivos que se suben a la nube.

Al cifrar los archivos nos aseguramos de que en caso de que un actor malicioso o un tercero consigan hacerse con credenciales de acceso, todavía necesitarán obtener la clave de cifrado de los archivos.

Elegir un proveedor de confianza

Elegir un proveedor de confianza también es fundamental; para aquellos servicios de cloud computing que contratemos y que requieren de la cesión de datos personales o que se emplean para gestionar estos, debemos asegurarnos de que el proveedor escogido cumple también con la normativa de protección de datos y que cuenta con medidas de seguridad de la información suficientes y adecuadas, para garantizar la seguridad de la información que subiremos a la nube.

Así mismo, como responsable del tratamiento, también deberemos, siempre que el proveedor tenga acceso a datos personales:

• Firmar un contrato de encargo de tratamiento.
• Incluir la cesión de datos al servicio en la nube en el registro de actividades de tratamiento.
• Si los servidores del proveedor están fuera de la UE, la empresa contratante debe comprobar que el país al que se envían los datos cuenta con las garantías suficientes en materia de protección de datos o, en su caso, recurrir a la firma de cláusulas contractuales tipo aprobadas por la Comisión Europea para las transferencias internacionales de datos con terceros países.
• La empresa que contrata el servicio debe asegurarse de que la empresa proveedora cuenta con las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos, así como que estos no serán cedidos a terceros ni usados con fines diferentes a los especificados en el contrato de protección de datos.
• La empresa proveedora del servicio colaborará con la empresa contratante en los términos que hayan establecido en el contrato para la atención a solicitudes de derechos de los interesados. Además, informará de inmediato sobre cualquier brecha de seguridad que haya sufrido y puesto en riesgo dichos datos.
• En el contrato de protección de datos o encargo de tratamiento, la empresa responsable del tratamiento deberá especificar qué debe hacer la empresa proveedora del servicio en la nube una vez finalice el plazo o la finalidad del tratamiento de los datos personales cedidos (si deben suprimirlos, bloquearlos o devolverlos al responsable).

Desafíos para la protección de datos en la nube

A la hora de contratar un servicio que se gestione a través de la nube, las empresas deben ser conscientes de los problemas y desafíos que esto implica para la protección de datos en internet, si bien es cierto que gran parte de las medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos deberá aplicarlas el proveedor del servicio.

Entre los riesgos que existen en el uso de la nube, destacamos:

• Accesos no autorizados por parte de terceros.
• Ataques que interrumpan el servicio (como ataques DDoS).
• Pérdida o filtración de información.
• Explotación de vulnerabilidades.
• Uso indebido de la información almacenada en la nube.

Además, a estos problemas hay que añadir los riegos asociados al uso de los servicios de cloud computing, que la guía de la AEPD agrupa en dos categorías generales:

• Falta de transparencia por parte del proveedor, de manera que el responsable del tratamiento y quien contrata el servicio desconoce «qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor». Esta falta de transparencia repercute de forma negativa en el responsable, que no sabrá qué riesgos existen para los datos cedidos y, por tanto, qué medidas de seguridad adoptar, dónde se encuentran los datos, qué medidas de seguridad tiene implementadas el proveedor o si este recurre a otros prestadores de servicios (subcontratación).
• Falta de control sobre los datos personales cedidos por parte del responsable, derivada, precisamente, de esa falta de transparencia. Esto supone, entre otras, dificultades para saber dónde están los datos, si es posible la portabilidad, así como la gestión de otros derechos de los interesados.

En cuanto a los desafíos de la protección de datos en la nube, detrás de los cuales están muchas veces los problemas citados más arriba, los responsables se enfrentan a:

• La necesidad de cifrar la información que se sube a la nube. No todos los responsables del tratamiento son plenamente conscientes del riesgo de filtración que supone tener datos personales almacenados en la nube sin aplicar ninguna medida de cifrado, dejándolos expuestos ante cualquier acceso no autorizado o robo de datos.
• Brechas de seguridad. Pese a las medidas de seguridad aplicadas por responsables del tratamiento y proveedores de servicios en la nube, el riesgo cero no existe y, como ya dijimos más arriba, cuando hay falta de transparencia y control sobre los datos personales y los servicios en la nube, es muy difícil aplicar medidas de seguridad adecuadas para minimizar los riesgos inherentes al tratamiento de datos en la nube.
• Falta de confidencialidad de los datos, especialmente del lado del responsable del tratamiento, que no aplica medidas de seguridad destinadas a limitar el acceso a los datos almacenados en la nube solo al personal autorizado para ello.
• Proveedores fuera de la UE, especialmente en países que no tienen una normativa de protección de datos o, si la tienen, no es equiparable al RGPD. Esto plantea problemas de control y de seguridad de los datos en la nube.

Si usas servicios de cloud computing en los que se suban datos personales, Grupo Atico34 puede ayudarte a cumplir con las obligaciones del RGPD y la LOPDGDD, como son la redacción del contrato de encargo de tratamiento, la evaluación de la seguridad y el nivel de cumplimiento de la normativa de los proveedores de servicios en la nube, la clasificación de los datos y la identificación y análisis de riesgos relativos a los servicios en la nube, etc., así como a diseñar e implementar las correspondientes medidas de seguridad para garantizar la protección de los datos personales que se subirán a la nube.

En definitiva, cuando se trata de protección de datos en la nube, es cosa de dos, pero como responsable del tratamiento, la responsabilidad final ante incidentes o brechas de seguridad será siempre suya.