El uso de la nube o de servicios de cloud computing por parte de las empresas, puede implicar en muchos casos el uso de datos personales en la nube, ya sea para su almacenamiento o para su gestión. Por lo tanto, se produce un tratamiento de datos que necesariamente implica cumplir con las obligaciones de la normativa de protección de datos. En este artículo hablaremos de la protección de datos en la nube y lo que significa para las empresas.
En este artículo hablamos de:
- ¿Qué es la protección de datos en la nube?
- ¿Por qué es importante la protección de datos en la nube?
- ¿Quién controla los datos en la nube?
- Obligaciones de protección de datos en la nube para empresas
- ¿Cómo se protegen los datos en la nube?
- ¿Qué riesgos existen en la nube?
- ¿Qué problemas de seguridad trae asociados la nube?
¿Qué es la protección de datos en la nube?
Cuando hablamos de protección de datos en la nube debemos distinguir entre la protección de datos como servicio (DPaaS), que funciona a través de la nube (si bien no significa que sea un servicio de protección de datos en el sentido de cumplir con la ley), y cuando una empresa contrata un servicio en la nube, del que se deriva un tratamiento de datos personales (como puede ser por ejemplo, almacenar y gestionar bases de datos de clientes y empleados).
En este artículo, vamos a hablar del segundo caso, es decir, de la protección de datos personales en la nube para empresas que contratan servicios que implican el uso de la nube.
En ese sentido, la protección de datos en la nube consiste en la adopción, tanto por parte del proveedor del servicio como de quien lo contrata, de las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos subidos a la nube.
Así, la protección de tus datos en la nube depende de dos actores, el servicio al que has cedido tus datos personales y el proveedor de servicios en la nube que este ha contratado y que implica el tratamiento de tus datos (sea solo como almacenamiento o para su gestión).
¿Por qué es importante la protección de datos en la nube?
La protección de datos en la nube es importante porque es una obligación legal; si como empresa o autónomo subimos datos personales a la nube (a través de un servicio de cloud computing, como pueden ser Dropbox, Google Drive o un servicio SaaS que requiere la cesión de datos personales), debemos tener en cuenta que estamos ante un tratamiento de datos personales y que, por tanto, debemos cumplir con las obligaciones del RGPD y la LOPDGDD, puesto que somos responsables de la seguridad, confidencialidad, integridad y disponibilidad de dichos datos.
Además, estamos «confiando» dichos datos a un tercero, el proveedor de un servicio cloud, que, aunque también debe cumplir con la normativa de protección de datos, es responsabilidad nuestra como responsable del tratamiento de hacer las debidas comprobaciones para asegurarnos de que cumple con dicha normativa. Esto implica también saber dónde se encuentran los servidores del proveedor, dónde se almacenan los datos, qué medidas de seguridad tiene implementadas, si subcontrata algún servicio, que garantías ofrece, etc.
Como responsables del tratamiento debemos asegurarnos de que los datos de nuestros clientes o usuarios están debidamente protegidos y a salvo de accesos no autorizados o filtraciones, así como que no son usados con fines diferentes a los acordados (como, por ejemplo, fines publicitarios).
En ese sentido (como ocurre con la protección de datos en las redes sociales cuando se usan con un perfil profesional), y como veremos más adelante, para una empresa o autónomo no solo basta con conocer la política de privacidad de un servicio en la nube (como puede ser, por ejemplo, la política de privacidad en Google Drive para quienes usen esta nube de uso gratuito), sino que habrá que conocer a fondo cómo y dónde almacena y/o gestiona los datos el proveedor del servicio, sus medidas de seguridad y establecer determinadas condiciones en un contrato, del que hablaremos más adelante.
¿Quién controla los datos en la nube?
El control de los datos en la nube recae tanto en el proveedor del servicio cloud como en la empresa o autónomo que lo contrata. El primero tendrá la condición de encargado del tratamiento y el segundo de responsable del tratamiento.
Esto significa que debe ser el responsable del tratamiento quien fije las condiciones sobre el tratamiento y su finalidad, así como otros aspectos que debe contemplarse en el contrato de encargo de tratamiento que ambos deberán suscribir y que veremos más adelante.
Para que el responsable del tratamiento no pierda ese control sobre los datos personales que almacena o gestiona a través del servicio en la nube, es fundamental que exista transparencia por parte del proveedor, es decir, que este ponga a disposición del responsable del tratamiento toda la información respecto a dónde se almacenarán los datos, si existen servicios subcontratados, qué medidas de seguridad tiene implementadas, etc.
Obligaciones de protección de datos en la nube para empresas
Para cumplir con las leyes que protegen la información almacenada en las nubes o gestionada a través de ellas, tanto empresas contratantes como proveedoras de este tipo de servicios deben cumplir con las siguientes obligaciones:
- Firmar un contrato de encargo de tratamiento.
- Incluir la cesión de datos al servicio en la nube en el registro de actividades de tratamiento.
- Si los servidores del proveedor están fuera de la UE, la empresa contratante debe comprobar que el país al que se envían los datos cuenta con las garantías suficientes en materia de protección de datos o, en su caso, recurrir a la firma de cláusulas contractuales tipo aprobadas por la Comisión Europea para las transferencias internacionales de datos con terceros países.
- La empresa que contrata el servicio debe asegurarse de que la empresa proveedora cuenta con las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos, así como que estos no serán cedidos a terceros ni usados con fines diferentes a los especificados en el contrato de protección de datos.
- La empresa proveedora del servicio colaborará con la empresa contratante en los términos que hayan establecido en el contrato para la atención a solicitudes de derechos de los interesados. Además, informará de inmediato sobre cualquier brecha de seguridad que haya sufrido y puesto en riesgo dichos datos.
- En el contrato de protección de datos o encargo de tratamiento, la empresa responsable del tratamiento deberá especificar qué debe hacer la empresa proveedora del servicio en la nube una vez finalice el plazo o la finalidad del tratamiento de los datos personales cedidos (si deben suprimirlos, bloquearlos o devolverlos al responsable).
¿Cómo se protegen los datos en la nube?
Aparte de las obligaciones que hemos visto en el apartado anterior, hay otras consideraciones que la empresa responsable del tratamiento debe tener en cuenta para garantizar una protección de datos en la nube adecuada y de acuerdo a la normativa.
Como hemos dicho, las medidas de seguridad para proteger la información y los datos y evitar la pérdida, robo o alteración no autorizada de los mismos, depende básicamente de la empresa proveedora, pero, como ocurre con la protección de datos en la web, la empresa responsable del tratamiento también debe tomar y aplicar sus propias medidas de seguridad para evitar incidentes de seguridad por su lado.
Estas medidas pasan por:
- Limitar el acceso a los archivos en la nube solo al personal autorizado y que necesite realmente trabajar con dichos datos.
- Crear contraseñas seguras y robustas para acceder al servicio en la nube. Idealmente y si el proveedor cuenta con ello, activar la autenticación de dos factores.
- Dependiendo del servicio contratado y los dispositivos en los que pueda usarse, cifrar los archivos subidos a la nube, de manera que si el dispositivo se pierde, dicha información no pueda ser accedida fácilmente.
- Contratar el servicio en la nube con un proveedor de confianza, que cuente con medidas de seguridad adecuadas y efectivas y que cumpla con la normativa de protección de datos.
- Realizar copias de seguridad de los archivos subidos a la nube, para garantizar su disponibilidad, si el servicio queda interrumpido.
- Asegurar que el proveedor llevará a cabo una eliminación segura de los datos una vez finalice la relación contractual.
¿Qué riesgos existen en la nube?
Los riesgos en la nube pueden agruparse, según la guía de la AEPD sobre el uso de servicios de cloud computing, en dos categorías generales:
- Falta de transparencia por parte del proveedor, de manera que el responsable del tratamiento y quien contrata el servicio desconoce «qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor». Esta falta de transparencia repercute de forma negativa en el responsable, que no sabrá qué riesgos existen para los datos cedidos y, por tanto, qué medidas de seguridad adoptar, dónde se encuentran los datos, qué medidas de seguridad tiene implementadas el proveedor o si este recurre a otros prestadores de servicios (subcontratación).
- Falta de control sobre los datos personales cedidos por parte del responsable, derivada, precisamente, de esa falta de transparencia. Esto supone, entre otras, dificultades para saber dónde están los datos, si es posible la portabilidad, así como la gestión de otros derechos de los interesados.
¿Qué problemas de seguridad trae asociados la nube?
A la hora de contratar un servicio que se gestione a través de la nube, las empresas deben ser conscientes de los problemas de seguridad que esto implica para la protección de datos en internet, si bien es cierto que gran parte de las medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos deberá aplicarlas el proveedor del servicio.
Entre los riesgos que existen en el uso de la nube, destacamos:
- Accesos no autorizados por parte de terceros.
- Ataques que interrumpan el servicio (como ataques DDoS).
- Pérdida o filtración de información.
- Explotación de vulnerabilidades.
- Uso indebido de la información almacenada en la nube.
En definitiva, a la hora de contratar servicios de cloud computing que impliquen la cesión de datos personales, las empresas deben siempre asegurarse que su proveedor cumple con el RGPD, así como aplicar por su lado las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos. La protección de datos en la nube depende tanto de la empresa que contrata el servicio como de la empresa que lo provee.