Este documento presenta un proyecto de investigación sobre la adecuación a la normativa en estrategia de seguridad y políticas de seguridad para preservar la privacidad de datos en la contratación y uso de servicios en la nube. En primer lugar, se realiza un estudio sobre el estado actual de la nube y la normativa de privacidad aplicable. A continuación, se evalúa el grado de cumplimiento de los principales proveedores de servicios en la nube mediante el análisis de certificaciones y estándares. Por último, se desarroll

1. ! 1!
!
!
!
MÁSTER!UNIVERSITARIO!EN!SEGURIDAD!DE!LAS!
TECNOLOGÍAS!DE!LA!INFORMACIÓN!Y!LAS!
COMUNICACIONES!
!
!
!
TRABAJO!FIN!DE!MÁSTER!
!
!
ADECUACIÓN!A!LA!NORMATIVA!EN!ESTRATEGIA!
DE!SEGURIDAD!Y!POLÍTICAS!DE!SEGURIDAD!PARA!
PRESERVAR!LA!PRIVACIDAD!DE!DATOS!EN!LA!
CONTRATACIÓN!Y!USO!DE!SERVICIOS!EN!LA!NUBE.!
!
!
!!
!
JOSE!MARIA!GONZALEZ!FRAILE!
DANIEL!LOPEZ!ROJO!
GLADYS!MARTIN!ARRESE!
!
!
CURSO!2014=2015!
! !

2. 2!
!
'No one shall be subjected to arbitrary
interference with his privacy, family,
home, or correspondence.'
The Universal Declaration of Human Rights
!
!
!
!
!
! !

3. 3!
!
! !

4. 4!
!
Agradecimientos!
Muchas'gracias'a'todos'aquellos'en'los'que'mayor'o'menor'medida'habéis'contribuido'en'la'
realización' de' este' trabajo,' en' especial' a' Pilar' Santamaría,' directora' de' este' proyecto,'
profesores'y'compañeros'del'Máster.''
Gracias'a'todos'por'este'año'que'hemos'compartido.'
'
'
' '

5. 5!
!
'
'
' '

6. 6!
!
Resumen!
Con! el! avance! de! la! tecnología! en! los! últimos! años! están! surgiendo! nuevas! formas! de!
negocio!que!tratan!de!priorizar!al!máximo!el!rendimiento!de!los!sistemas!y!los!procesos!de!
producción,!una!de!ellas!es!el!Cloud!Computing.!Su!llegada!alrededor!de!los!años!50!!cambió!
el!paradigma!tecnológico!dotando!a!las!empresas!de!una!solución!ágil!y!competitiva!que!
facilitó!acceder!de!forma!rápida!y!sencilla!a!un!catálogo!de!recursos!y!servicios!ilimitados!sin!
necesidad!de!realizar!grandes!inversiones.!!
Dado!que!la!responsabilidad!legal,!en!materia!de!protección!de!datos,!recae!en!el!cliente!
que!contrata!este!tipo!de!servicios,!es!necesario!sentar!unas!bases!contractuales!que,!en!
función! del! estado! actual! del! entorno! Cloud,!limite! los! riesgos! asociados! a! este! tipo! de!
servicios!y!anule!el!no!cumplimiento!legal!por!parte!del!proveedor.!
Para!la!valorar!la!situación!actual!del!mercado,!en!este!trabajo!se!identifican!los!puntos!de!
control!de!cumplimiento!normativo!dictado!por!la!Ley!Orgánica!de!Protección!de!Datos!y!se!
realiza!un!estudio!de!los!estándares!asociados!a!entornos!Cloud!para!evaluar!el!grado!de!
cumplimiento!por!parte!de!los!proveedores!más!potentes!de!este!sector.!Además!se!ha!
elaborado!una!herramienta!que!permite!auditar!el!servicio!contratado!y!de!forma!objetiva!
adecuarlo!a!esta!normativa.!
!
!
! !

7. 7!
!
! !

8. 8!
!
Abstract!
The!technology!advance!over!the!last!years!is!emerging!new!kinds!of!business,!trying!to!
prioritize!the!maximum!output!of!the!systems!and!production!processes,!one!of!which!is!
Cloud!Computing.!His!arrival,!in!the!fifties,!changed!the!technological!paradigm!by!providing!
companies!with!a!flexible!and!competitive!solution!that!facilitated!access!quickly!and!easily!
to!a!catalog!of!unlimited!resources!without!making!large!investments.!
Considering!that!the!legal!responsibility!in!data!protection!lies!on!the!client´s!side!who!hires!
these!services,!it!is!necessary!to!define!contractual!basis,!depending!on!the!current!state!of!
the!cloud!environment,!which!limits!the!risks!associated!with!these!kind!of!services!and!
cancels!the!non=legal!compliance!by!the!supplier.!
To! assess! the! current! market! situation,! this! paper! identifies! the! points! of! control! of!
regulatory!compliance!systems!in!accordance!to!Organic!Law!on!the!Protection!of!Personal!
Data!and!studies!the!associated!standards!to!cloud!environments!with!the!aim!of!evaluating!
the!level!of!compliance!from!the!most!important!cloud!providers.!In!addition,!a!tool!has!
been!developed!to!audit!the!contracted!service!and!objectively!adapt!it!to!these!regulations.!
!
! !

9. 9!
!
!
! !

10. 10!
!
CONTENIDO!
Agradecimientos!.......................................................................................................!4!
Resumen!...................................................................................................................!6!
Abstract!....................................................................................................................!8!
Contenido!...............................................................................................................!10!
Índice!de!tablas!.......................................................................................................!14!
Índice!de!imágenes!..................................................................................................!15!
CAPÍTULO!I:!INTRODUCCIÓN!Y!OBJETIVOS!...............................................................!17!
1.! INTRODUCCIÓN!Y!OBJETIVOS!...........................................................................!17!
2.! FASES!DEL!PROYECTO!.......................................................................................!18!
2.1! Investigación!Cloud!..............................................................................................!18!
2.2! Estudio!Normativa!...............................................................................................!18!
2.3! Elaboración!estado!proveedores!cloud!................................................................!19!
2.4! Evaluación!de!la!herramienta!disclover!................................................................!19!
CAPÍTULO!II:!ESTADO!DEL!ARTE!...............................................................................!20!
3.! “LA!NUBE”!........................................................................................................!20!
3.1! INTRODUCCIÓN!...................................................................................................!20!
3.2! CARACTERÍSTICAS!ESENCIALES!.............................................................................!21!
3.2.1! Auto=servicio!Bajo!demanda!.................................................................................!21!
3.2.2! Amplio!acceso!a!la!red.!..........................................................................................!22!
3.2.3! Distribución!de!recursos!independientes!de!la!posición.!......................................!22!
3.2.4! Elasticidad!rápida.!.................................................................................................!22!
3.2.5! Servicio!medido.!....................................................................................................!22!
3.3! MODELOS!DE!DESPLIEGUE!O!IMPLEMENTACIÓN!..................................................!22!
3.4! MODELOS!DE!SERVICIO!........................................................................................!23!
4.! DOCUMENTACIÓN!DE!REFERENCIA!..................................................................!24!
4.1! IDG/IDC!...............................................................................................................!31!
4.1.1! El!auge!de!la!TI!Híbrida:!Entornos!cloud!en!las!empresa!y!principales!
preocupaciones!de!los!responsables!TI!en!los!entornos!Cloud!.........................................!31!

11. 11!
!
4.2! Gartner!................................................................................................................!35!
4.2.1! Cuadrante!Mágico!de!Gartner!para!infraestructura!como!servicio.!(IaaS)!............!36!
4.2.2! Cuadrante!Mágico!de!Gartner!para!la!plataforma!de!aplicaciones!como!servicio.!
(PaaS)! 37!
CAPÍTULO!III:!PLATEAMIENTO!Y!SOLUCIÓN!.............................................................!42!
5.! PRIVACIDAD!.....................................................................................................!42!
5.1! ¿QUÉ!ES?!DEFINICIÓN!..........................................................................................!42!
5.2! MARCO!LEGAL!.....................................................................................................!43!
5.2.1! INTRODUCCIÓN!.....................................................................................................!43!
5.2.2! NOMATIVA!EUROPEA!............................................................................................!46!
5.2.2.1! Introducción!...............................................................................................................!46!
5.2.2.2! Directiva!95/46/CE!.....................................................................................................!48!
5.2.2.3! Decisión!520/2000/CE!o!Safe!Harbour!.......................................................................!51!
5.2.2.4! Decisión!2010/87/UE!..................................................................................................!53!
5.2.3! LEGISLACIÓN!ESPAÑOLA!........................................................................................!54!
5.2.3.1! Constitución!Española!................................................................................................!54!
5.2.3.2! Ley!Orgánica!de!Protección!de!Datos!(LOPD)!y!Real!Decreto!1720/2007!(RLOPD)!....!54!
5.2.3.2.1! Introducción!..........................................................................................................!54!
5.2.3.2.2! Contenido!de!la!Norma!.........................................................................................!55!
5.2.3.2.3! Sistemas!automatizados!........................................................................................!55!
5.2.3.2.4! Nivel!de!privacidad!de!los!datos!............................................................................!57!
5.2.3.2.5! Medidas!de!seguridad!...........................................................................................!58!
5.2.3.2.6! Documento!de!seguridad!......................................................................................!62!
5.2.3.2.7! Disposiciones!generales!LOPD!...............................................................................!64!
6.! CUMPLIMIENTO!LOPD.!¿Asegurar!o!demostrar?!...............................................!65!
6.1! Asegurar!o!cláusulas!contractuales!......................................................................!67!
6.1.1! Cláusulas!contractuales!definidas!desde!la!agencia!española!de!protección!de!
datos! 67!
6.1.1.1! Clausulas!&!Apéndices!................................................................................................!68!
6.2! Demostrar!o!certificaciones!.................................................................................!71!
6.2.1! ¿Por!qué!confiar!en!certificaciones!y!Estándares?!................................................!71!
6.2.2! Normativa!y!estándares!deseable!en!un!proveedor!de!servicios!cloud.!...............!72!
6.2.2.1! ESTÁNDARES!ISO/IEC!..................................................................................................!72!
6.2.2.2! Puerto!Seguro!.............................................................................................................!74!
6.2.2.3! Cláusulas!tipo!de!la!Unión!Europea!............................................................................!74!

12. 12!
!
6.2.2.4! HIPAA!..........................................................................................................................!74!
6.2.2.5! PCI!DSS!!.......................................................................................................................!75!
6.2.2.6! SSAE!16!/!ISAE!3402!....................................................................................................!75!
6.2.2.7! FedRAMP(SM)!............................................................................................................!76!
6.2.2.8! FERPA!.........................................................................................................................!76!
6.2.2.9! OTROS!........................................................................................................................!77!
6.2.3! Cloud!Control!Matrix!–!Cloud!Security!Alliance!.....................................................!77!
6.2.4! Resumen!de!Certificaciones!en!PROVEEDORES!.....................................................!79!
6.2.5! ANÁLISIS!general!DE!proveedores!.........................................................................!80!
6.2.5.1! Primer!punto.!LOPD!....................................................................................................!80!
6.2.5.2! Segundo!punto.!Safe!Harbor!y!Cláusulas!Contractuales!Tipo!....................................!81!
6.2.5.3! Tercer!punto.!ISO!27000.!...........................................................................................!81!
6.2.5.4! Cuarto!punto.!General!................................................................................................!82!
6.3! DISCLOVER:!HERRAMIENTA!PARA!ANALIZAR!EL!CUMPLIMIENTO!DE!LA!LOPD!EN!
LOS!PROVEEDORES!CLOUD.!.............................................................................................!82!
6.3.1! INTRODUCCIÓN.!....................................................................................................!82!
6.3.2! ESTRUCTURA!Y!PARTES!.........................................................................................!83!
6.3.2.1! INSTRUCCIONES!.........................................................................................................!84!
6.3.2.2! NIVEL!BÁSICO!.............................................................................................................!85!
6.3.2.3! NIVEL!MEDIO!..............................................................................................................!86!
6.3.2.4! NIVEL!ALTO!.................................................................................................................!88!
6.3.2.5! DISPOSICIONES!GENERALES!LOPD!&!RD!....................................................................!89!
6.3.2.6! RESUMEN!CUMPLIMIENTO!........................................................................................!91!
6.3.2.7! RESUMEN!GRÁFICO!....................................................................................................!92!
CAPÍTULO!IV:!CONCLUSIONES!..................................................................................!94!
7.! ANÁLISIS!RESUMEN!DEL!TRABAJO!REALIZADO!.................................................!94!
7.1! CONCLUSIONES!DEL!PROYECTO!...........................................................................!95!
7.2! FUTURAS!LÍNEAS!DE!DESARROLLO!.......................................................................!96!
BIBLIOGRAFÍA!.........................................................................................................!98!
GLOSARIO!DE!TÉRMINOS!.......................................................................................!101!
ANEXO!I.!Visualización!de!las!pestañas!..................................................................!104!
8.! INSTRUCCIONES!.............................................................................................!104!
8.1! NIVEL!BÁSICO!....................................................................................................!105!
8.2! NIVEL!MEDIO!.....................................................................................................!107!

13. 13!
!
8.3! NIVEL!ALTO!........................................................................................................!108!
8.4! RESUMEN!CUMPLIMIENTO!................................................................................!109!
8.5! RESUMEN!GRÁFICO!...........................................................................................!109!
!
!
! !

14. 14!
!
Índice!de!tablas!
Tabla!1.!Principios!básicos!de!aplicación!nacional!...............................................................!46!
Tabla!2.!Principios!puerto!Seguro!........................................................................................!53!
Tabla!3.!Nivel!de!privacidad!de!datos!...................................................................................!58!
Tabla!4.!Medidas!de!seguridad!............................................................................................!62!
Tabla!5.!Documento!de!Seguridad!.......................................................................................!64!
Tabla!6.!Disposiciones!generales!..........................................................................................!65!
Tabla!7.!Normativas!de!seguridad!y!privacidad!de!los!datos!...............................................!77!
Tabla!8.!Cumplimiento!normativa!de!proveedores!Cloud!...................................................!79!
!

15. 15!
!
! !
Índice!de!imágenes!
Figura!1!Fase!del!proyecto!...................................................................................................!18!
Figura!2!Definición!de!!la!NIST!Cloud!Computing!(CSA)!!.......................................................!21!
Figura!3!Estimación!del!riesgo!Cloud!....................................................................................!27!
Figura!4!Continuación!estimación!del!riesgo!Cloud!.............................................................!28!
Figura!5!!Áreas!de!control!plan!de!auditoria!Cloud!Estimación!del!riesgo!Cloud!(Galindo!
Merino,!Martin!Vidal,!Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!...............................!29!
Figura!6!Continuación!áreas!de!control!plan!de!auditoría!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!..................................................................!30!
Figura!7.!Gráfico!basado!en!el!estudio!de!IDG!el!auge!de!la!TI!Híbrida!................................!32!
Figura!8.!Carga!de!trabajo!en!centro!de!datos!.....................................................................!33!
Figura!9.!Gráfico!basado!en!el!estudio!de!IDG!!el!auge!de!la!TI!híbrida!...............................!34!
Figura!11.!Cuadrante!mágico!Gartner!IaaS!..........................................................................!36!
!Figura!12.!Cuadrante!mágico!de!Gartner!PaaS!....................................................................!38!
Figura!12.!Safe!Harbor!..........................................................................................................!81!
Figura!13.!Logo!Herramienta!Disclover!................................................................................!82!
Figura!14.!Pestañas!Excel!Herramienta!................................................................................!83!
Figura!15.!Pestaña!Instrucciones!..........................................................................................!85!
Figura!16.!Pestaña!Nivel!Básico!............................................................................................!85!
Figura!17.!Pestaña!Nivel!Medio!............................................................................................!87!

16. 16!
!
Figura!18.!Pestaña!Nivel!Alto!...............................................................................................!88!
Figura!19.!Pestaña!Disposiciones!Generales!LOPD!&!RD!.....................................................!90!
Figura!20.!Pestaña!Resumen!cumplimiento!.........................................................................!91!
Figura!21.!Pestaña!Resumen!Grafico!....................................................................................!93!
Figura!20.!Herramienta!Disclover!pestaña!de!Instrucciones!..............................................!104!
Figura!21.!Herramienta!Disclover!nivel!básico!I!.................................................................!105!
Figura!22.!Herramienta!Disclover!nivel!básico!II!................................................................!106!
Figura!23.!Herramienta!Disclover!nivel!básico!III!...............................................................!107!
Figura!22.!Herramienta!Disclover!nivel!medio!I!.................................................................!107!
Figura!23.!Herramienta!Disclover!nivel!medio!II!................................................................!108!
Figura!24.!Herramienta!Disclover!nivel!alto!I!.....................................................................!108!
Figura!25.!Herramienta!Disclover!Resumen!de!cumplimiento!...........................................!109!
Figura!28.!Herramienta!Disclover!resumen!de!cumplimiento!I!.........................................!109!
Figura!29.!Herramienta!Disclover!resumen!de!cumplimiento!II!........................................!110!
Figura!30.!Herramienta!Disclover!resumen!de!cumplimiento!III!.......................................!110!
Figura!31.!Herramienta!Disclover!resumen!de!cumplimiento!IV!.......................................!110!
!
! !

17. 17!
!
CAPÍTULO!I:!INTRODUCCIÓN!Y!OBJETIVOS!
1.! INTRODUCCIÓN!Y!OBJETIVOS!
Dentro! del! ámbito! de! la! seguridad! de! la! información,! este! trabajo! surge! al! detectar! la!
ausencia!de!información!relativa!al!cumplimiento!de!protección!de!datos!por!parte!de!los!
proveedores!de!servicios!Cloud.!
Con! el! desarrollo! en! los! últimos! años! de! las! nuevas! tecnologías! de! virtualización! y! los!
constantes!cambios!en!las!necesidades!de!negocio,!una!de!las!alternativas!adoptadas!por!
las! empresas,! frente! a! mantener! costosos! centro! de! datos! en! sus! instalaciones,! es! la!
contratación!de!diferentes!servicios!en!la!nube.!Esto!supone!trasladar!información,!que!
antes!se!ubicaba!dentro!de!la!propia!empresa,!a!un!entorno!externo!al!que!debe!de!exigirse!
una! serie! de! medidas! de! seguridad! que! garanticen! la! privacidad,! integridad,!
confidencialidad!y!no!repudio!de!la!información.!
Debido!a!la!importancia!que!tiene!el!cumplimiento!actual!en!materia!de!protección!de!datos!
por!parte!de!las!empresas!españolas,!uno!de!los!objetivos!de!este!trabajo!es!conocer!el!
estado!actual!de!este!servicio,!para!ello!realizaremos!un!estudio!de!la!ley!vigente!y!nos!
centraremos! en! los! principales! estándares,! certificaciones! y! guías! de! buenas! practicas!
desarrolladas! por! entidades! que! basándose! en! el! trabajo! y! conocimiento! de! expertos,!
grupos!y!organizaciones!de!la!industria,!tratan!de!crear!unos!controles!que!consigan!de!
forma!eficaz!mitigar!los!riesgos!que!conlleva!la!computación!en!la!nube.!!
Por!último,!para!que!las!propias!compañías!puedan!comprobar!el!nivel!de!cumplimiento!
interno!o!que!tienen!los!diferentes!proveedores!de!servicios!en!Cloud,!se!desarrollará!una!
una!herramienta!que!puede!ser!utilizada!como!punto!de!partida!por!aquellas!empresas!que!
actualmente!están!tratando!de!migrar!sus!sistemas!de!la!información!o!parte!de!ellos!a!la!
nube.!
Diferenciamos!claramente!cinco!objetivos:!
1.! Definir!el!concepto!de!“La!nube”!o!Cloud,!se!usará!indistintamente!un!término!y!
otros!cuando!nos!refiramos!a!este!tipo!de!servicio.!
2.! Analizar!información!de!los!principales!analistas!Cloud.!

18. 18!
!
3.! Analizar! normativa! europea! y! española! de! protección! de! datos! de! carácter!
personal.!
4.! Realizar! estudio! de! cumplimiento! por! parte! de! los! proveedores! Cloud! mñas!
relevantes.!
5.! Realizar!una!herramienta!que!permita!a!nivel!interno!auditar!el!servicio,!única!y!
exclusivamente!de!un!punto!de!vista!de!protección!de!datos.!
!
2.! FASES!DEL!PROYECTO!!
Partiendo!de!los!objetivos!fijados!se!han!identificado!las!siguientes!fases:!
!
Figura!1!Fase!del!proyecto!
2.1! INVESTIGACIÓN!CLOUD!
Esta! primera! fase! del! proyecto! la! dividimos! a! su! vez! en! dos! subfases,! por! un! lado!
pretendemos! dar! una! visión! general! del! término! Cloud! Computing,! sus! principales!
características!que!lo!hacen!una!de!las!soluciones!más!demandas!del!mercado,!así!como!las!
diferentes! modalidades! en! las! que! se! presta! este! servicio.! Y! por! otro,! para! entender! el!
estado!!actual!y!la!proyección!de!los!proveedores!más!importantes!que!presentan!este!tipo!
de!servicios,!se!muestra!a!modo!de!resumen,!el!estudio!de!2014!realizado!por!los!principales!
analistas!de!Cloud,!IDG/IDC!y!Gartner.!
2.2! ESTUDIO!NORMATIVA!
Una!vez!establecido!el!contexto!en!el!que!vamos!a!movernos,!en!este!bloque!del!proyecto!
definiremos!el!concepto!de!privacidad,!término!bajo!el!que!se!fundamenta!la!elaboración!
de!este!trabajo!y!analizaremos!en!profundidad!la!normativa!vinculante!a!la!protección!de!
datos!de!carácter!personal,!tanto!a!nivel!europeo!como!español,!para!fijar!una!serie!de!
Investigación!Cloud Estudio!Normativa
Evaluación!estado!
proveedores!CLOUD
Elaboración!
Herramienta!
Disclover

19. 19!
!
puntos! de! control! que! permita! medir! el! grado! de! cumplimiento! de! los! principales!
proveedores!de!Cloud.!!
2.3! ELABORACIÓN!ESTADO!PROVEEDORES!CLOUD!
Posteriormente,!con!el!objetivo!de!conocer!el!estado!actual!de!esta!tecnología!desde!el!
punto!de!vista!de!protección!de!datos,!evaluaremos!a!los!principales!proveedores!de!Cloud!!
sirviéndonos! de! la! información! que! facilitan! a! través! de! sus! contratos! de! adhesión,!
certificaciones! internacionales! y! de! posible! información! que! a! su! vez! estos! nos! puedan!
proporcionar.!
2.4! EVALUACIÓN!DE!LA!HERRAMIENTA!DISCLOVER!
Y!por!último,!procederemos!a!desarrollar!una!herramienta!basada!en!los!puntos!de!control!
definidos!anteriormente!(“DISCLOVER”),!que!nos!permita!analizar!el!grado!de!cumplimiento!
de!la!normativa!y!mostrar!los!resultados!obtenidos!de!forma!gráfica!y!sencilla,!de!manera!
que!aporte!valor!a!aquellas!empresas!que!puedan!estar!planteándose!migrar!parte!de!su!
infraestructura!o!servicios!a!la!nube.!
Esta!herramienta!servirá!como!complemento,!que!los!clientes!podrán!utilizar,!junto!con!la!
utilización!de!cláusulas!contractuales!y!servirse!de!las!certificaciones!internacionales.!
Junto! con! la! herramienta,! para! permitir! a! terceros! su! utilización,! se! proporcionará! un!
manual!de!uso!dónde!se!dará!una!explicación!de!su!estructura!y!de!los!resultados!generados!
por!la!misma.!

20. ! 20!
CAPÍTULO!II:!ESTADO!DEL!ARTE!
3.! “LA!NUBE”!
3.1! INTRODUCCIÓN!
Según! Stephen! Fry,! nos! encontramos! en! medio! de! una! revolución! en! el! negocio! de! la!
computación,!donde!la!computación!se!ha!convertido!en!una!“utilidad”.!
Stephen! Fry,1
! hace! una! analogía! del! mundo! de! la! computación! al! de! la! electricidad,!
indicando!que!de!la!misma!forma!en!que!la!necesidad!que!la!gente!tuvo!de!tener!luz,!es!lo!
que!desarrolló!la!electricidad,!la!necesidad!actual!que!tenemos!de!poseer!acceso!a!servicios!
en!la!red!de!forma!continua,!escalable,!pagando!por!el!uso,!etc.,!es!lo!que!ha!contribuido!a!
la!actual!expansión!y!desarrollo!del!“cloud!computing”.!!
Esto!significa,!que!la!“utilidad”!es!donde!se!encuentra!el!origen!del!mayor!cambio!individual!
que!se!ha!producido!en!el!sector!de!la!computación!en!un!siglo.!Un!cambio!tan!grande,!
según!sus!palabras,!que!lo!podemos!comparar!a!lo!que!supuso!la!Revolución!Industrial,!una!
revolución!que!también!fue!alimentada!por!el!constructo!denominado!“utilidad”.!!
Ya!estemos!de!acuerdo!o!no!con!la!afirmación!de!Fry,!la!computación!en!la!nube!ha!supuesto!
una!revolución,!como!podemos!ver!la!relación!directa!que!tiene!con!todas!las!tecnologías!o!
modelos!de!éxito!en!el!mundo!de!la!computación,!como!el!Big!Data,!BYOD,!Internet!de!las!
Cosas,!etc.!!
Ahora!bien:!¿Qué!es!la!Computación!en!la!nube?!
Se! pueden! encontrar! diversas! definiciones,! se! ha! considerado! que! la! más! acertada!
atendiendo!al!ámbito!de!este!trabajo!es!la!siguiente:!
“La'Computación'en'la'Nube'es'un'modelo'que'permite'el'acceso'bajo'demanda'y'a'través'de'la'
red'a'un'conjunto'de'recursos'compartidos'y'configurables'(como'redes,'servidores,'capacidad'
de'almacenamiento,'aplicaciones'y'servicios),'que'pueden'ser'rápidamente'asignados'y'liberados'
con'una'mínima'gestión'por'parte'del'proveedor'del'servicio”!(NIST,!2011).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1
!Fry,!Stephen.!Changes!to!computer!thinking.!https://www.youtube.com/watch?v=J9LK6EtxzgM!!

21. 21!
!
Basándonos!en!la!definición!del!NIST,!podemos!distinguir!tres!apartados!importantes;!el!
primero!de!ellos!son!las!características!que!el!organismo!ha!definido!como!esenciales!para!
un!Servicio!en!la!Nube!(SelN);!el!segundo!es!la!distinción!entre!tres!niveles!de!servicio!y!por!
último,!la!diferencia!de!los!cuatro!modelos!de!despliegue.!!
Figura!2!Definición!de!!la!NIST!Cloud!Computing!(CSA)!2!
3.2! CARACTERÍSTICAS!ESENCIALES!
Dado! que! este! tipo! de! tecnología! presenta! innumerables! ventajas,! presentamos! a!
continuación!las!características!principales!de!los!servicios!de!la!nube.!
3.2.1! AUTOmSERVICIO!BAJO!DEMANDA!
El!usuario!puede!acceder!a!capacidades!de!computación!en!la!nube!(como!capacidad!de!
cómputo! o! almacenaje)! de! forma! automática! a! medida! que! las! vaya! requiriendo,! sin!
necesidad!de!una!interacción!humana!con!su!proveedor!de!servicio.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2
!CSA.!Guía'CSA'para'la'seguridad'en'áreas'críticas'de'atención'en'Cloud'Computing'V2.!!
!

22. 22!
!
3.2.2! AMPLIO!ACCESO!A!LA!RED.!
Los!recursos!son!accesibles!a!través!de!la!red!y!por!medio!de!mecanismos!estándar!que!son!
utilizados!por!una!amplia!variedad!de!dispositivos,!desde!teléfonos!móviles!a!ordenadores!
portátiles!o!tabletas.!
3.2.3! DISTRIBUCIÓN!DE!RECURSOS!INDEPENDIENTES!DE!LA!POSICIÓN.!
Los!recursos!del!proveedor!son!agrupados!para!servir!a!múltiples!usuarios!utilizando!un!
modelo!multi=distribuido,!con!diferentes!recursos!físicos!y!virtuales!asignados!y!reasignados!
dinámicamente,!conforme!a!la!demanda!del!consumidor.!!
Existe!independencia!de!la!ubicación!o!posición,!de!forma!que!los!usuarios!no!tienen!control!
ni!conocimiento!sobre!la!localización!exacta!de!los!recursos!a!los!que!acceden,!aunque!sí!es!
posible!que!sean!conscientes!de!la!situación!a!determinado!nivel,!como!el!de!CPD!o!el!de!
país.!
3.2.4! ELASTICIDAD!RÁPIDA.!
Los!recursos!se!pueden!proporcionar!de!modo!rápido!y!elástico,!es!decir,!de!asignar!y!liberar!
rápidamente,! muchas! veces! de! forma! automática.! Estas! características! de!
aprovisionamiento! dan! al! usuario! la! impresión! de! que! los! recursos! a! su! alcance! son!
ilimitados!y!están!siempre!disponibles.!
3.2.5! SERVICIO!MEDIDO.!
El!proveedor!es!capaz!de!controlar!y!optimizar!automáticamente!el!uso!de!los!recursos,!de!
forma!que!se!potencie!la!capacidad!de!medición!a!un!nivel!de!abstracción!apropiado!al!tipo!
de! servicio! (almacenamiento,! procesamiento,! ancho! de! banda! y! cuentas! privadas! de!
usuario).!El!uso!de!recursos!puede!ser!monitorizado,!controlado!e!informado,!de!forma!que!
tanto!proveedor!como!usuario!tienen!acceso!transparente!al!consumo!real!de!los!recursos,!
lo!que!posibilita!el!pago!por!el!uso!efectivo!de!los!servicios.!
3.3! MODELOS!DE!DESPLIEGUE!O!IMPLEMENTACIÓN!
a.! Nube!pública!
La!infraestructura!de!“Nube!pública”!está!preparada!para!el!uso!abierto!por!el!público!en!
general.!Puede!ser!en!propiedad,!administrada!y!operada!por!una!organización!de!negocios,!

23. 23!
!
académica!o!del!gobierno,!o!una!combinación!de!los!tres!y!existe!dentro!de!las!instalaciones!
del!proveedor!de!la!nube.!
b.! Nube!privada!
La!infraestructura!de!“Nube!Privada”,!está!preparada!para!el!uso!exclusivo!de!una!única!
organización! que! comprende! varios! consumidores! (por! ejemplo,! unidades! de! negocio).!
Puede! ser! en! propiedad,! administrada! y! operada! por! la! organización,! un! tercero! o! una!
combinación!de!ellos!y!puede!existir!dentro!o!fuera!de!las!instalaciones.!
c.! Nube!privada!compartida!o!!“Hosted”!
La!infraestructura!de!“Nube!Comunitaria”!está!preparada!para!el!uso!de!una!comunidad!
específica! de! consumidores! de! organizaciones! que! tienen! intereses! compartidos! (por!
ejemplo,!requerimientos!de!seguridad!y!políticas).!Puede!ser!de!propiedad,!administrada!y!
operada! por! una! o! más! de! las! organizaciones! en! la! comunidad,! por! un! tercero! o! una!
combinación!de!ambos!y!puede!existir!dentro!o!fuera!de!las!instalaciones.!
d.! Nube!híbrida!
La!infraestructura!de!“Nube!Híbrida”!es!una!combinación!de!una!o!más!infraestructuras!en!
nube!distintas!(privada,!pública!o!comunitaria)!que!permanecen!como!entidades!únicas!
pero!están!unidas!por!tecnologías!estándares!o!propietarias!que!permiten!la!portabilidad!
de!los!datos!y!las!aplicaciones.!
3.4! MODELOS!DE!SERVICIO!
XaaS,!por!sus!siglas!en!inglés!(X'as'a'Service),!es!un!término!reciente!que!significa!“cualquier!
cosa!como!servicio”,!o!“todo!como!servicio”,!y!trata!de!mostrar!la!realidad!actual!de!la!
computación!en!la!nube,!donde!cualquier!cosa,!en!este!caso!X,!se!puede!virtualizar.!!
Los!modelos!más!conocidos!son!SaaS,!PaaS!y!IaaS,!definidos!por!el!NIST3
!también!conocido!
como!“Modelo!SPI”,!que!a!continuación!pasamos!a!detallar.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
3
!Mell,!P.,!&!Grance,!T.!(2011).!The!NIST!Definition!of!Cloud!Computing!Recommendations!of!the!
National!Institute!of!Standards!and!Technology.!Nist'Special'Publication,!145,!7.!
doi:10.1136/emj.2010.096966!
!

24. 24!
!
a.!Infraestructura!como!servicio!(IaaS,!por!sus!siglas!en!inglés)
Al! usuario! se! le! facilitan! los! recursos! informáticos! esenciales,! como! el! procesamiento,!
almacenamiento! o! comunicaciones;! en! los! cuales,! el! usuario! puede! instalar! y! ejecutar!
cualquier!software,!desde!sistemas!operativos!a!aplicaciones.!El!usuario!no!administra!o!
controla! la! infraestructura! en! la! nube! subyacente,! pero! tiene! control! sobre! sistemas!
operativos,!almacenamiento,!las!aplicaciones!instaladas,!y!posiblemente!un!control!limitado!
para!seleccionar!componentes!de!red,!como!por!ejemplo,!un!cortafuegos.!
b.!Plataforma!como!servicio!(PaaS,!por!sus!siglas!en!inglés)
Al!usuario!se!le!permite!desplegar!aplicaciones!propias,!ya!sean!adquiridas!o!desarrolladas!
por!el!propio!usuario,!en!la!infraestructura!en!la!nube!de!su!proveedor.!!
El!usuario!no!controla!o!administra!la!infraestructura!en!la!nube!(red,!servidores,!sistemas!
operativos,!almacenamiento,!etc.),!pero!tiene!el!control!sobre!las!aplicaciones!desplegadas!
y!los!ajustes!de!configuración!del!entorno!donde!se!aloja!las!aplicaciones.!!
c.!Software!como!servicio!(SaaS,!por!sus!siglas!en!inglés)
El!servicio!ofrecido!al!usuario!es!la!capacidad!de!desplegar!aplicaciones!en!la!infraestructura!
en!la!nube,!desarrolladas!por!él!o!adquiridas,!creadas!utilizando!lenguajes!de!programación,!
librerías,!servicios!y!herramientas!soportadas!por!el!proveedor.!El!usuario!no!administra!o!
controla!la!infraestructura!en!la!nube!subyacente!que!incluye!la!red,!servidores,!sistemas!
operativos! o! de! almacenamiento,! aunque! mantiene! el! control! sobre! las! aplicaciones!
desplegadas!y!posiblemente!sobre!los!ajustes!de!configuración!del!entorno!donde!se!aloja!
la!aplicación.!!
4.! DOCUMENTACIÓN!DE!REFERENCIA!!
Dentro!de!este!escenario!y!las!múltiples!ventajas!que!hemos!comentado!que!ofrecen!los!
entornos!Cloud,!cada!vez!nos!encontramos!con!más!empresas!que!se!plantean!migrar!su!
infraestructura!a!la!nube.!Hay!que!tener!en!cuenta,!según!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)4
!,!dónde!se!hace!un!estudio!exhaustivo!de!plan!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4
!Galindo!Merino,!F.,!Martin!Vidal,!G.,!Puerta!Hoyas,!B.,!&!Francesco!Schiavo,!U.!(2013).!Planes'de'Auditoria'
y'Buenas'prácticas'para'entornos'cloud'computing'y'bring'your'own'device!.!
!

25. 25!
!
de! auditoria! Cloud! en! función! de! lo! principales! estándares! (COBIT! 4.1,! ITIL! v3,! ISO/IEC!
27002:2005,!NIST!SP!800=53!y!controles!propuestos!por!SANS!en!el!año!2013),!que!existen!
una! serie! de! riesgos! asociados! a! estos! entornos,! independientemente! del! modelo! de!
servicio!y!de!despliegue!seleccionado.!Los!citamos!a!continuación:!!
1.! Pérdida!del!gobierno!de!datos.!Dado!que!al!migrar!datos!fuera!de!la!empresa!se!
pierde!su!control.!
2.! Adquisición!del!proveedor!del!Cloud.!Ya!que!queda!vinculada!la!continuidad!del!
servicio!o!los!acuerdos!tomados!a!la!estrategia!que!tome!la!compañía.!
3.! Error!o!cancelación!del!servicio!de!la!nube.!El!riesgo!se!vincula!a!los!servicios!o!datos!
del!cliente!que!en!el!se!alojen.!
4.! Falta!de!recursos!de!la!nube.!Si!no!se!dimensionan!bien!los!recursos!necesarios!
puede!llevar!a!no!prestarse!el!servicio!adecuadamente.!
5.! Proveedor!del!Cloud!malicioso!con!abuso!de!sus!altos!privilegios.!La!gestión!de!la!
infraestructura!recae!en!buena!parte!en!el!proveedor!Cloud,!el!cual!puede!acceder!
con!permisos!de!administración!y!de!no!actuar!con!el!rigor!apropiado!puede!verse!
comprometida!parte!de!la!seguridad!de!la!información.!
6.! Interceptar!datos!en!la!subida!o!bajada!de!información.!La!conexión!entre!el!cliente!
y!el!proveedor!puede!ser!interceptada!por!terceros.!
7.! Fugas! de! información! en! los! movimientos! de! datos! dentro! del! entorno! Cloud.!!
Debido!al!tránsito!de!información!entre!los!servidores,!pueden!producirse!pérdidas!
de!datos!o!de!acceso!a!la!información!durante!un!tiempo!determinado.!
8.! Eliminar! los! datos! de! una! forma! insegura! o! ineficaz.! Al! alojarse! los! datos! en!
diferentes!infraestructuras!Cloud,!hay!que!establecer!procedimientos!que!aseguren!
el!borrado!total!de!los!datos.!
9.! Distribución! de! Denegación! de! servicio! (DDoS).! Riesgo! inherente! a! los! sistemas!
Cloud!al!encontrarse!la!información!accesible!desde!la!red.!
10.!Denegación!Económica!de!servicio!(EDoS).!Motivada!por!el!cambio!de!coste!del!
servicio!o!el!aumento!de!recursos.!
11.!Pérdida!de!las!claves!de!codificación.!Fallo!en!la!custodia!de!las!claves!utilizadas.!
12.!Riesgos!derivados!del!cambio!de!jurisdicción.!Ya!que!los!datos!pueden!alojarse!en!
función!de!las!necesidades!en!diferentes!ubicaciones!geográficas,!pueden!llegar!a!
incumplirse!leyes!locales!de!cada!país.!

26. 26!
!
13.!Riesgos!de!la!protección!de!datos.!Aunque!la!responsabilidad!recae!en!el!cliente!
que!contrata!los!servicios,!los!datos!se!encuentran!alojados!en!la!infraestructura!del!
proveedor!Cloud!y!muchas!veces!es!difícil!establecer!mecanismos!de!control!o!de!
auditoría!que!verifiquen!al!100%!el!cumplimiento!legal!en!este!aspecto.!
14.!Riesgos!relativos!a!la!licencia.!Posible!incompatibilidad!entre!licencias!o!aumento!
del!coste!de!la!mismas.!
15.!Brechas! en! la! red.! Ante! cualquier! fallo! de! seguridad! en! un! entorno! Cloud,! la!
magnitud! de! las! consecuencias! es! mucho! mayor,! al! verse! afectados! un! mayor!
número!de!clientes/usuarios.!
16.!Gestión! de! la! red.! Es! importante! contar! con! una! correcta! configuración! y!
monitorización!de!la!red!para!garantizar!que!el!servicio!se!de!adecuadamente.!
17.!Modificación!del!tráfico!de!la!red.!!
18.!Escalada!de!privilegios.!En!este!caso!el!riesgo!reside!en!otorgar!permisos!de!manera!
incorrecta!a!los!usuarios!que!cuentan!con!acceso!a!los!datos.!
19.!Ataques!de!ingeniería!social.!A!través!de!los!usuarios!o!trabajadores!del!proveedor!
es!posible!acceder!a!información!confidencial.!
20.!Pérdida!o!robo!de!copias!de!seguridad.!Lo!que!daría!lugar!a!acceso!a!información!
confidencial!si!no!se!establecen!unos!procesos!y!controles!adecuados!de!transporte,!
custodia,!borrado,!etc..!
21.!Acceso!no!autorizado!a!los!locales.!La!ausencia!de!seguridad!física!o!el!deficiente!
control!de!acceso!podría!dar!lugar!al!acceso!a!toda!la!infraestructura!que!aloja!datos!
de!carácter!personal.!
22.!Robo!de!equipos!informáticos.!Lo!que!implica!acceder!a!la!información!que!estos!
alojan.!
23.!Catástrofes!naturales.!Riesgo!patente!en!cualquier!sistema!de!la!información,!ya!se!
trate!de!un!servicio!Cloud!o!no.!
24.!Conflictos!entre!los!usuarios!en!el!endurecimiento!de!las!políticas!Cloud.!Cambios!
en!la!metodología!de!trabajo!de!la!empresa!y!el!riesgo!de!incumplimiento!por!parte!
de!los!trabajadores.!
25.!Desafíos! de! cumplimiento.! Ausencia! de! procedimiento! de! garantice! que! el!
proveedor!cumple!con!lo!dispuesto!por!ley!o!de!forma!contractual.!
!

27. 27!
!
Si!bien!es!cierto!que!no!todos!los!riesgos!mencionados!están!relacionados!directamente!con!
el!cumplimiento!por!parte!del!cliente!y!del!proveedor!Cloud!de!la!ley!de!protección!de!datos,!!
en!función!de!la!estimación!del!riesgo!que!hicieron!de!los!mismos!en!(Galindo!Merino,!
Martin!Vidal,!Puerta!Hoyas,!&!Francesco!Schiavo,!2013)5
,!teniendo!en!cuenta!la!probabilidad!
de!que!los!riesgos!citados!se!materialicen!y!el!impacto!que!causaría!dentro!de!cualquier!
organización,! ajustándonos! a! los! valores! de! estimación! de! la! ISO/IEC! 27005:2008,! nos!
encontramos!con!que!los!riegos!cuya!valoración!fue!mayor!están!vinculados!de!manera!
directa!con!el!cumplimiento!legal,!pérdida!del!control!de!la!información,!riesgos!del!cambio!
de! jurisdicción! y! de! protección! de! los! datos,! hecho! que! consideramos! estrechamente!
relacionado! con! lo! marcado! por! ley! para! garantizar! la! protección! de! datos! de! carácter!
personal! y! que! deja! patente! la! necesidad! de! establecer! puntos! de! control! específicos! y!
adecuados!que!garanticen!y!minimicen!la!probabilidad!de!que!estos!riesgos!se!materialicen.!
!
Figura!3!Estimación!del!riesgo!Cloud!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5
!Galindo!Merino,!F.,!Martin!Vidal,!G.,!Puerta!Hoyas,!B.,!&!Francesco!Schiavo,!U.!(2013).!Planes'de'Auditoria'
y'Buenas'prácticas'para'entornos'cloud'computing'y'bring'your'own'device!.!
!

28. 28!
!
!
Figura!4!Continuación!estimación!del!riesgo!Cloud!!
A!su!vez,!en!el!plan!de!auditoria!diseñado!en!(Galindo!Merino,!Martin!Vidal,!Puerta!Hoyas,!
&! Francesco! Schiavo,! 2013),! en! función! de! los! 44! controles! que! se! establecían,! los!
estándares!estudiados!COBIT,!ISO/IEC!27002:2005!y!NIST!cumplían!en!su!totalidad!todos!los!
controles,!dejando!ITIL!v3!un!4%!sin!cubrir!y!SANS!un!40%,!porcentaje!que!en!buena!parte!
se!debía!al!no!control!de!cumplimiento!legal!por!parte!de!los!proveedores!Cloud!y!que!
estaría! directamente! vinculado! con! el! estudio! que! se! realiza! en! este! trabajo.! Nos!
centraremos!por!lo!tanto,!dentro!las!9!áreas!establecidas!por!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013),!en!el!área!de!Descubrimiento!legal!y!electrónico.!

29. 29!
!
!
Figura!5!!Áreas!de!control!plan!de!auditoria!Cloud!Estimación!del!riesgo!Cloud!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!
!

30. 30!
!
!
Figura!6!Continuación!áreas!de!control!plan!de!auditoría!(Galindo!Merino,!Martin!Vidal,!Puerta!Hoyas,!&!
Francesco!Schiavo,!2013)!!
!
A!continuación,!vamos!a!ver!la!situación!actual!del!mercado!a!través!de!las!publicaciones!
realizadas!durante!2014!de!los!principales!analistas,!IDG/IDC&y&Gartner.!Hay!que!tener!en!
cuenta!que!es!tal!el!ritmo!de!desarrollo!de!esta!tecnología!que!a!día!de!hoy!muchos!de!los!
proveedores!estudiados!han!avanzado!en!el!cumplimiento!de!normativa!de!protección!de!
datos,!siendo,!como!por!ejemplo!en!el!caso!de!Microsoft,!el!primer!proveedor!de!Cloud!del!
cual!la!AEPD!afirma!que!los!contratos!emitidos!ofrecen!garantías!adecuadas!para!que!los!
clientes!confíen!sus!datos!personales!a!la!compañía!en!el!marco!de!los!servicios!corporativos!
de!Office!365,!Dynamics!CRM!Online!y!Microsoft!Azure!(Microsoft,!2014)6
.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
6
! Microsoft.! (6! de! Junio! de! 2014).! Microsoft.! Recuperado! el! Agosto! de! 2015,! de! Microsoft:!
https://news.microsoft.com/es=es/2014/06/06/aepd=servicios=cloud=microsoft/!
!
!

31. 31!
!
4.1! IDG/IDC!
Qué!ofrece:!con!47!años!de!antigüedad!tiene!más!de!1.000!analistas!distribuidos!por!todo!
el!mundo.!Su!enfoque!es!fuertemente!orientado!a!datos!alrededor!de!métricas!de!negocio,!
como!la!cuota!de!mercado,!el!volumen!de!ventas!y!las!predicciones!de!crecimiento.!
!Qué!tienen!a!su!favor:!a!pesar!de!ser!una!gran!empresa!presta!servicio!para!la!pequeña!y!
mediana! empresa! y! a! su! vez! provee! de! servicios! permanentes! de! asesoramiento,!
investigación!personalizada!y!consultoría.!
Qué!limitaciones!tiene:!no!sería!el!indicado!si!lo!que!se!busca!es!un!informe!sobre!mejores!
prácticas,!completar!una!propuesta!(RFP),!o!un!estudio!sobre!la!organización!de!TI.!!
4.1.1! EL!AUGE!DE!LA!TI!HÍBRIDA:!ENTORNOS!CLOUD!EN!LAS!EMPRESA!Y!PRINCIPALES!
PREOCUPACIONES!DE!LOS!RESPONSABLES!TI!EN!LOS!ENTORNOS!CLOUD!
En!su!artículo!“EL!AUGE!DE!LA!TI!HÍBRIDA”!7
!presenta!un!estudio!tras!la!realización!de!625!
entrevistas! a! responsables! de! TI! acerca! de! qué! estructura! tienen! actualmente! las!
organizaciones! (tradicional! o! Cloud)! y! qué! hoja! de! ruta! han! definido.! ! Las! respuestas!
provienen! a! partes! iguales! del! Reino! Unido,! Francia,! Alemania,! España,! Austria,! Suiza,!
Irlanda,!Países!Bajos,!Bélgica,!Dinamarca!y!Suecia.!
Dentro!de!la!información!aquí!destacada,!nos!hemos!centrado!en!ver!que!diferentes!modos!
de!servicios!Cloud!son!requeridos,!así!como!los!temas!relacionados!con!la!percepción!de!la!
seguridad! y! protección! de! los! datos! y! cómo! son! percibidos! en! estos! entornos! por! los!
responsables!de!las!tecnologías!de!la!información.!
El!estudio!excluyó!al!sector!público,!además!las!empresas!tenían!que!tener!más!de!cien!
empleados!y!no!podían!estar!totalmente!externalizadas.!Las!personas!entrevistadas!debían!
tener!puestos!de!responsabilidad!TI!dentro!de!la!empresa.!
A!lo!largo!de!esta!sección,!podrán!encontrarse!algunas!de!las!conclusiones!que!el!IDG!nos!
brinda.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
7
!(interxon)http://www.interxion.com/es/sectores/corporaciones/el4auge4de4la4ti4hibrida/!
!
!

32. 32!
!
La!introducción!de!este!estudio!nos!indica!el!auge!de!esta!tecnología!en!las!empresas.!El!
sector! TI! ha! respondido! con! modelos! informáticos! como! el!Cloud! computing,! dado! que!
facilita!las!pruebas!y!ensayos!de!nuevas!ideas!para!reducir!el!coste!de!implementación!y!
agiliza!los!plazos!de!comercialización.!Los!cambios!complementarios!en!las!redes!sociales,!
la!proliferación!de!dispositivos!móviles,!la!adopción!de!banda!ancha,!el!Internet!de!las!cosas!
y!los!análisis!de!datos!multiplican!las!oportunidades!de!negocio,!pero!también!requieren!de!
nuevos!enfoques!de!la!gestión!de!datos.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !
1.! Entornos!utilizados!en!la!empresa.!
El! primer! punto! que! vamos! a! ver! del! estudio! es! cómo! gestionan! actualmente! sus!
operaciones!de!infraestructura!de!TI!las!empresas.!Entrando!ya!en!los!datos!extraídos,!siete!
de!cada!diez!declararon!que!utilizan!los!centros!de!datos!corporativos,!la!mitad!(50%)!el!
Cloud!privado!y!el!38%!afirmaron!que!usa!el!Cloud!público.!Pero!posiblemente,!el!aspecto!
más!notable!es!la!manera!en!que!las!organizaciones!están!mezclando!sus!enfoques,!un!45%!
indicaron!que!utiliza!un!enfoque!híbrido!que!combina!los!centros!de!datos!propios!con!la!
nube,!pública!o!privada.!Este!panorama!mixto!es!indicativo!de!un!mercado!en!constante!
cambio.!
!
Figura!7.!Gráfico!basado!en!el!estudio!de!IDG!el!auge!de!la!TI!Híbrida!
!

33. 33!
!
Un!modelo!puro!de!despliegue!Cloud!tiene!más!atractivo!para!las!empresas!con!poca!o!
ninguna!infraestructura!existente.!Para!el!resto!de!las!empresas,!un!modelo!de!TI!híbrido!
resulta!más!atractivo!porque!se!puede!combinar!servicios!críticos!en!las!instalaciones!con!
aplicaciones!o!servicios!estándar!en!la!nube.!
Enfocándonos! en! el! punto! de! la! protección! de! datos,! el! estudio! nos! dice! que! los!
responsables!de!TI,!a!la!hora!de!decidir!el!lugar!donde!van!a!residir!los!datos,!se!basan!en!
decisiones!que!suelen!ser!tácticas!o!estratégicas.!Es!decir,!una!carga!de!trabajo!con!datos!
de!misión!crítica!o!información!sumamente!sensible!podría!mantenerse!dentro!del!firewall!
corporativo.!Por!otra!parte,!una!aplicación!que!no!se!distinga!especialmente!del!resto!podría!
alojarse!en!la!nube!pública.!Una!empresa!podría!probar!una!aplicación!en!una!nube!privada!
y,!a!continuación,!pasarla!a!una!plataforma!en!la!nube!pública!por!motivos!de!rentabilidad,!
o!viceversa.!Este!nuevo!modelo!híbrido!de!TI!se!puede!considerar!una!especie!de!Tetris!
virtual!en!el!que!las!cargas!de!trabajo!se!mueven!entre!las!distintas!zonas.!
2.! Razones!para!mantener!las!cargas!de!trabajo!dentro!de!su!centro!de!datos!
Siguiendo!con!el!informe!y!focalizando!en!el!aspecto!de!donde!se!ubican!los!datos!y!por!qué!
mantienen!las!cargas!de!trabajo!dentro!de!sus!propios!centros!de!datos,!los!responsables!TI!
se!decantaron!en!primer!lugar!por!la!seguridad!de!la!información!(53%),!seguida!por!la!
protección!de!datos!y!las!normas!de!gobernanza!(41%)!en!segunda!posición.!
Figura!8.!Carga!de!trabajo!en!centro!de!datos!
A!las!empresas!les!preocupa!la!pérdida!de!datos!y!los!daños!ocasionados!en!los!sistemas!
informáticos! por! el! malware! y! temen! las! repercusiones! (normalmente! públicas)! de! los!

34. 34!
!
acuerdos! aplicados! por! los! legisladores,! reguladores! y! otros,! así! como! la! sanción! de! los!
medios.!
3.! Principales!preocupaciones!sobre!el!Cloud!computing!para!los!responsables!TI!
Las!preocupaciones!relativas!al!modelo!Cloud!computing!suelen!incluir!la!seguridad,!por!lo!
que! no! nos! sorprende! que! cuando! se! les! preguntó! acerca! de! sus! preocupaciones! al!
conectarse!con!aplicaciones!basadas!en!la!nube,!los!encuestados!citaran!la!seguridad!como!
la!preocupación!número!uno,!con!un!69%.!La!segunda!respuesta!más!popular!fue!el!coste!
(42%),!seguida!por!el!rendimiento!de!las!aplicaciones!(37%).!Es!evidente!que,!aunque!los!
proveedores!de!servicios!Cloud!digan!que!sus!servicios!pueden!igualar!los!servicios!en!las!
instalaciones!propias,!los!responsables! TI!todavía!tienen!sus!dudas!acerca!del!ancho!de!
banda,!la!latencia!y!el!potencial!impacto!en!la!prestación!de!servicios.!Tan!solo!el!4%!expresó!
no!tener!preocupación!alguna.!
!
!
Figura!9.!Gráfico!basado!en!el!estudio!de!IDG!!el!auge!de!la!TI!híbrida!
Sin!embargo,!más!de!las!tres!cuartas!partes!de!los!encuestados!(77%)!dijeron!que!pasarían!
más!carga!de!trabajo!a!la!nube!pública!o!privada!si!sus!problemas!pudieran!solucionarse.!

35. 35!
!
Este!estudio!sugiere!que!el!42%!de!la!carga!de!trabajo!podría!ir!a!parar!a!la!nube!pública!o!a!
una!privada!si!los!problemas!de!red!no!fueran!un!factor!determinante.!
!
4.! Conclusiones!del!Informe!
Del!informe!se!extrae,!por!un!lado!que!el!modelo!de!las!infraestructuras!de!servicios!TI!está!
cambiando!a!un!modelo!de!adaptación!de!servicios!en!la!nube,!siendo!la!tendencia!híbrida!
la!que!lidera!y!!por!otro!lado,!se!extrae!que!la!tendencia!es!de!crecimiento!de!estos!servicios!
Cloud,!siendo!la!percepción!de!la!seguridad!y!de!la!protección!de!los!datos!los!principales!
condicionantes!que!hacen!que!esta!transición!no!se!acelere.!
Por! lo! tanto! es! labor! de!los! proveedores! que! brindan! estos! servicios! el! garantizar! a! las!
empresas!la!seguridad!de!sus!sistemas!y!el!cumplimiento!normativo!respecto!a!la!protección!
de!los!datos.!!
4.2! GARTNER!
Que!ofrecen:!Gartner!es!una!gran!empresa!dentro!del!área!de!la!investigación!TI.!Tiene!una!
gran!comercialización!y!trata!de!dar!enfoque!a!todos!los!aspectos!de!la!empresa.!Tienen!
diferentes!combinaciones!de!informes!y!especialización!dependiendo!del!tipo!de!público.!
Que!tienen!a!su!favor:!La!amplitud!de!la!cobertura!que!Gartner!ofrece!es!una!gran!ventaja!
para!ellos,!además,!siendo!muy!conocida!dentro!de!las!organizaciones!de!TI!corporativas.!La!
compañía! hace! un! excelente! trabajo,! incluyendo! una! gran! diversificación! alrededor! de!
evaluaciones!de!productos!y!algunos!de!sus!informes!sobre!mejores!prácticas.!
Qué!limitaciones!tiene:!Muchas!veces!sus!reportes!no!son!tan!considerados!en!el!mercado,!
por!ser!una!empresa!que!genera!grandes!ingresos!en!este!campo!y!puede!considerarse!que!
ciertas!tecnologías!están!invirtiendo!en!estos!reportes.!
Dentro!de!este!apartado!y!para!ver!las!conclusiones!sacadas!por!el!tercer!gigante!de!los!
análisis!de!mercados!TI,!nos!hemos!centrado,!como!no!podía!ser!de!otra!forma,!en!sus!
reportes!de!los!cuadrantes!mágicos!de!Gartner!sobre!tecnología!IaaS!y!PaaS.!
!

36. 36!
!
4.2.1! CUADRANTE!MÁGICO!DE!GARTNER!PARA!INFRAESTRUCTURA!COMO!SERVICIO.!
(IAAS)!
Este!reporte8
!!fue!publicado!el!28!de!Mayo!de!2014,!Analiza!los!principales!proveedores!de!
servicios!IaaS.!El!enfoque!es!de!diversos!puntos!de!análisis,!como!son!almacenamiento,!
localización,!redes,!etc.!Nosotros!destacaremos!la!seguridad.!Los!resultados!que!obtuvieron!
en!este!cuadrante!mágico!fueron!los!siguientes.!
!!
!
Figura!10.!Cuadrante!mágico!Gartner!IaaS!
!
1.! Líderes!
En!este!apartado!se!encuentran!los!servicios!que!tienen!una!estrategia!y!una!hoja!de!ruta!
clara.!Sirven!para!dar!solución!a!múltiples!problemáticas,!sin!necesidad!de!que!sean!los!
mejores!en!un!área!muy!específica.!Solamente!dos!empresas!se!ubican!aquí,!Amazon!Web!
Services!y!Microsoft.!
!! Amazon!Web!Services!
Como!parte!de!Amazon.com,!es!un!servicio!enfocado!al!Cloud!con!una!visión!muy!clara!de!
automatización,!reducción!de!costes!y!flexibilidad.!Lidera!el!cuadrante!con!niveles!muy!altos!
en!Visión!e!integración.!Posee!un!gran!número!de!localizaciones!e!idiomas!de!soporte,!con!
un!gran!número!de!opciones!de!Network!también.!Sobre!seguridad,!comentan!que!RBAC!
cuenta! con! un! excelente! control! de! permisos! y! destacan! que! tiene! un! gran! número! de!
certificaciones!de!cumplimiento!y!auditorías.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8
!(Gartner,!2014)!Magic!Quadrant!for!Cloud!Infrastructure!as!a!Service
!

37. 37!
!
!
!! Microsoft!
PaaS!era!antes!solamente!Azure,!ahora!han!invertido!en!también!infraestructura!con!Azure!
Virtual!Machines!y!Azure!Virtual!Network.!Su!origen!es!Abril!de!2013.!Da!servicio!en!varios!
idiomas!24x7,!con!pago!por!minuto!en!almacenamiento.!En!redes!presta!servicio!con!la!
colaboración!de!un!tercero.!Estas!limitaciones!en!la!red,!hacen!que!carezcan!de!algunos!de!
los!dispositivos!virtuales!más!específicos!en!el!área!de!la!seguridad,!como!puede!ser!un!
IPS/IDS.!
Como!fortaleza!de!Microsoft!está!su!despliegue!en!IaaS,!PaaS!y!SaaS,!con!una!visión!agresiva!
que!se!expande!en!múltiples!mercados.!
La!marca!de!Microsoft!es!muy!popular!desde!hace!muchos!años!en!el!mercado!TI!como!
marca!consolidada!en!entornos!de!internet.!Sin!embargo,!en!el!área!de!infraestructura!es!
relativamente!nuevo!y!todavía!se!están!encontrando!fallos!significativos,!sobre!todo!en!
seguridad!y!red.!
2.! Otros!proveedores!
Por!seguir!con!el!análisis!hecho!anteriormente!vamos!a!ver!de!aquí!la!oferta!de!IBM.!
!! IBM!(Softlayer)!
El!gigante!tecnológico!adquirió!en!Julio!de!2013!Softlayer,!una!empresa!independiente!!con!
foco!en!la!pequeña!y!mediana!empresa,!anunció!su!estrategia!IaaS!en!enero!de!2014.!!Dan!
servicio!en!varios!idiomas!desde!EEUU,!Singapur!y!Holanda.!Tiene!modelo!de!nube!pública!
y!privada!con!oferta!para!IaaS,!PaaS!y!SaaS.!
!!
4.2.2! CUADRANTE!MÁGICO!DE!GARTNER!PARA!LA!PLATAFORMA!DE!APLICACIONES!
COMO!SERVICIO.!(PAAS)!
Este!reporte9
!!fue!publicado!el!7!de!enero!de!2014.!Analiza!los!principales!proveedores!de!
servicios!PaaS.!El!enfoque!es!de!análisis!del!servicio!de!Cloud!puro,!a!diferencia!del!análisis!
visto!de!Forrester,!aquí!no!se!considera!la!seguridad!como!factor!a!evaluar,!sino!que!se!basa!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(Gartner,!Magic!Quadrant!for!Enterprise!application!plataforme!e!as!a!Service,!2014)
!

38. 38!
!
en!la!visión!global!del!proveedor!y!la!facilidad!que!tiene!de!integración!con!otros!sistemas!y!
entornos.!
!Los!resultados!que!obtuvieron!en!el!cuadrante!mágico!fueron!los!siguientes.!
!Figura!11.!Cuadrante!mágico!de!Gartner!PaaS!
!
!
1.! Lideres!
En!este!apartado!se!encuentran!los!servicios!que!combinan!una!visión!completa!del!negocio!
con! una! facilidad! de! implementación.! Algunas! empresas! llevan! ya! varios! años! en! este!
cuadrante!demostrando!una!fiabilidad!y!conocimiento!de!este!mercado.!La!tendencia!es!
que!cada!vez!más!empresas!tiendan!a!esta!posición.!Solamente!dos!empresas!se!ubican!aquí!
Salesforce.Com!y!Microsoft.!
!! SalesForce!
Salesforce!lidera!el!cuadrante!mágico!de!Gartner!desde!2007,!lo!que!asegura!tanto!una!
amplia!oferta,!una!gran!cartera!de!clientes,!continuidad!e!innovación!de!sus!servicios,!lo!que!
le!ha!permitido!durante!los!últimos!ocho!años!liderar!el!mercado.!Es!una!nube!nativa!de!alta!
productividad,! dado! todo! como! servicio,! con! capacidades! para! móviles,! altamente!
escalable,!con!gestión!de!identidades!y!control!de!flujo.!
Con!el!apoyo!previsto!para!las!secuencias!de!dispositivos,!análisis!de!datos,!la!expansión!de!
la!arquitectura!de!la!aplicación!y!gestión!de!la!identidad!móvil,!salesforce.com!está!por!
delante! de! la! mayoría! de! sus! competidores! en! el! seguimiento! de! las! tendencias! de! la!
industria.!

39. 39!
!
Evita!desarrollos!de!aplicaciones!independientes!o!dependencia!de!otras!empresas,!muchas!
empresas!prefieren!el!modelo!híbrido!y!su!servicio!SaaS!es!más!popular,!lo!que!puede!causar!
problemas!para!referenciarlo!como!líder!de!servicios!PaaS.!
!
!! Microsoft!
La!propuesta!de!Microsoft!está!formando!un!entorno!IaaS!y!PaaS!con!su!propuesta!Azure.!
Este!apoyo!a!las!infraestructuras!facilita!la!entrada!de!los!servicios!plataforma.!La!estrategia!
se!basa!en!una!nave!en!continua!actualización!que!vaya!agregando!mejoras!y!aplicaciones.!
Tiene! servicios! incluidos! de! movilidad! y! SQL,! así! como! servicios! de! middleware! de!
mensajería.!
Como!ventajas!tienen!que!la!gente!familiarizada!con!Windows!se!encuentra!con!un!entorno!
confortable!y!las!empresas!saben!que!se!integra!bien!con!sus!entornos!existentes!y!que!
puede!tener!la!opción,!en!algunos!casos,!para!ejecutar!sus!aplicaciones!internas!o!en!Azure.!
Además,!la!visión!de!Microsoft!es!de!principio!a!fin!y!soporta!los!principales!lenguajes!de!
programación,!permitiendo!desarrollos!que!no!sean!solo!de!Microsoft.!
Como!contras!de!la!oferta,!el!estudio!muestra!que!las!ofertas!de!Microsoft!carecen!de!alta!
productividad!de!apoyo!al!desarrollo!basado!en!gráficos!(herramientas!de!productividad!de!
Visual!Studio)!dirigido!por!modelos.!Por!último!se!percibe!que!las!promesas!de!marketing!
están!por!delante!de!la!realidad!actual!de!productos.!
2.! Competidores!
En!este!apartado!se!encuentran!los!servicios!que!carecen!de!una!visión!completa!del!negocio!
pero! si! tienen! facilidad! de! implementación.! Para! estar! aquí! hay! que! demostrar! un!
importante!número!de!clientes,!pero!necesita!innovación!para!atraer!a!un!mayor!espectro!
y!pasar!a!ser!líder.!Únicamente!se!ubica!aquí!Google.!En!un!futuro!la!tendencia!es!que!
aumentará!el!número!de!empresas!en!este!sector.!
!! Google!
Google!ofrece!su!aplicación!App!Engine!PaaS!como!parte!de!su!plataforma!de!Cloud!con!
diferentes!versiones!según!el!lenguaje.!Google!tiene!una!gran!base!de!clientes,!mezcla!de!

40. 40!
!
pequeños! innovadores! y! referencias! importantes.! Además,! Google! posee! una! gran!
reputación!como!servicios!Cloud!y!como!empresa!innovadora.!
Plantea!la!potente!opción!Cloud!de!venta!conjunta!de!Google!Apps!(SaaS)!con!la!Plataforma!
Nube!Google!(IaaS!y!PaaS),!sin!embargo,!Google!no!es!percibido!como!empresa!de!servicios,!
y! su! presencia! PaaS! es! menor;! tampoco! está! concebido! para! infraestructuras! híbridas,!
aunque!hay!algunos!proyectos!independientes.!
3.! Visionarios!
En!este!apartado!se!encuentran!los!servicios!que!poseen!de!una!visión!completa!del!negocio,!
sin!embargo,!carecen!de!facilidad!de!implementación.!
En!el!mercado!PAAS,!algunos!proveedores!visionarios!están!invirtiendo!en!vanguardia!PAAS!
empresariales,! servicios! aún! no! adoptados! fácilmente! por! los! principales! clientes! de! la!
empresa.!Otros!visionarios!sobresalen!en!la!comprensión!de!las!demandas!de!la!empresa!
en!el!camino!de!adopción!de!la!nube!y!en!el!apoyo!de!alta!productividad!para!los!usuarios!
de! línea! de! negocio;! integración,! orquestación! y! gestión! de! la! API! de! servicios! de!
aplicaciones! compuestas,! así! como! también! la! gestión! de! autoservicio! para! la!
implementación!de!aplicaciones!híbridas.!
Dado! que! dentro! de! este! apartado! hay! identificadas! 9! empresas,! y! por! no! perder! la!
coherencia!del!trabajo,!vamos!a!ver!cómo!analizan!el!caso!de!IBM.!
!! IBM!
!La!Estrategia!de!IBM!PaaS!se!basa!en!una!oferta!completa!de!servicios!Cloud,!disponible!
desde! principios! de! 2013,! llamada! BlueMix,! muy! enfocado! a! movilidad! y! desarrollo! de!
aplicaciones!móviles.!
Incluye!el!diseño!de!aplicación!web!de!IBM!(WebSphere!Application!Server!technology),!
también! el! uso! de! la! plataforma! de! aplicaciones! de! IBM! Mobile! (con! IBM! Worklight),!
servicios!de!gestión!de!ciclo!de!vida!de!las!aplicaciones!(basado!en!la!tecnología!de!IBM!
Rational)!y!servicios!adicionales!menores.!
IBM!es!un!gigante!tecnológico!que!dota!de!servicios!de!infraestructura!tradicional!y!TI!de!
principio!a!fin,!con!muchos!socios!clientes!y!una!gran!red!de!alcance.!La!compatibilidad!con!
su!popular!WebSphere!Application!Server,!WebSphere!MQ,!DB2!UDB!y!Rational,!hace!que!

41. 41!
!
el! IBM! PaaS! sea! una! opción! atractiva! para! los! clientes! y! socios! que! quieran! mover! las!
aplicaciones!establecidas!en!una!nube!pública,!incluso!IBM!puede!soportar!escenarios!de!
nubes!públicas,!privadas!e!híbridas.!Sin!embargo,!la!base!Cloud!de!IBM!CPEA!se!calcula!en!
menos!de!50!clientes!en!todo!el!mundo,!y!dentro!de!sus!clientes!esta!opción!tiene!baja!
penetración! actualmente,! con! un! incremento! de! la! cartera! de! clientes,! es! necesario! la!
realización!de!pruebas!de!funcionalidad!y!de!concepto!para!asegurar!que!la!plataforma!es!
capaz!de!responder!a!estas!necesidades.

42. ! 42!
CAPÍTULO!III:!PLATEAMIENTO!Y!SOLUCIÓN!
5.! PRIVACIDAD!
5.1! ¿QUÉ!ES?!DEFINICIÓN!
El!término!privacidad!es!un!término!bastante!complejo,!pues!se!puede!contemplar!desde!
un!punto!de!vista!social,!de!tipo!legal!y!tecnológico.!!
Desde!un!punto!de!vista!social,!el!concepto!de!privacidad!ha!ido!variando!en!el!tiempo,!
siendo!la!de!Altman!(1975)!una!de!las!primeras!definiciones:!“la'privacidad'es'el'control'
selectivo'del'acceso'a'uno'mismo'o'al'grupo'al'que'uno'pertenece”.!
Posteriormente,!en!el!contexto!de!desarrollo!de!los!sistemas!de!comunicación,!se!aumentó!
el!control!sobre!la!información,!y!Newel!(1994)!definió!la!privacidad!como!“la'separación'
del'dominio'público”.!
La!privacidad,!desde!un!punto!de!vista!social!es!muy!importante,!pues!“regula!los!procesos!
de!interacción!social!y!ayuda!a!establecer!la!identidad!personal!o!grupal”.!(Holahan,!1991)!
Con! respecto! a! la! identidad! personal! y! grupal,! Valera! (1998)! señala! que! “la! privacidad!
permite!a!la!persona!establecer!límites!de!los!demás!y!definirse!a!sí!misma,!también!le!
permite!compararse!con!los!demás!y!por!ende!comprender!sus!propias!características.!!
Desde!un!punto!de!vista!legal,!o!del!derecho,!podemos!aceptar!la!definición!del!término!que!
hace! la! RAE:! “Ámbito! de! la! vida! privada! que! se! tiene! derecho! a! proteger! de! cualquier!
intromisión”.!
Corral!Talciani!(2000)!enumera!las!formulaciones!que!intentan!captar!el!núcleo!esencial!del!
derecho!a!la!vida!privada!o!privacidad:!
a)! El!derecho!a!ser!dejado!solo.!
b)! El!derecho!a!tomar!decisiones!personales.!
c)! El!derecho!al!control!de!la!información!personal.!
d)! El!derecho!a!la!inaccesibilidad.!
e)! El!derecho!a!excluir!a!terceros!de!la!información!personal.!
f)! El!derecho!sobre!el!acceso!cognoscitivo.!

43. 43!
!
Y!por!último,!desde!un!punto!de!vista!tecnológico,!privacidad!se!entiende!como!el!conjunto!
de!medidas!que!se!deben!de!tomar!para!proteger!los!datos!personales!almacenados!en!un!
soporte!electrónico!o!que!son!objeto!de!tratamiento!automatizado.!
5.2! MARCO!LEGAL!
5.2.1! INTRODUCCIÓN!
La!Revolución!Francesa!(1789=1799)!fue!el!precursor!histórico!del!desarrollo!de!los!derechos!
personales!y!colectivos!como!universales,!plasmándose!en!la!“Declaración!de!los!Derechos!
del!Hombre!y!del!Ciudadano”,!aprobada!en!la!asamblea!Nacional!Constituyente!francesa!el!
26!de!agosto!de!1789,!pero!fue!hasta!la!aprobación!de!la!Resolución!217!A!(III),!por!parte!de!
la!Asamblea!de!las!Organización!de!Naciones!Unidas!(ONU),!el!10!de!diciembre!de!1948!en!
París,!conocida!como!“Declaración!Universal!de!los!Derechos!Humanos”10
!que!la!privacidad!
(entendiéndose! también! como! la! protección! de! los! datos! personales)! comenzó! a! tener!
importancia!a!nivel!internacional.!!
En!esta!declaración,!encontramos!el!Artículo!12,!que!establece!que!el!derecho!a!la!vida!
privada,!por!extensión!la!privacidad,!es!un!derecho!humano:!
“Nadie!será!objeto!de!injerencias!arbitrarias!en!su!vida!privada,!su!familia,!su!domicilio!o!su!
correspondencia,!ni!de!ataques!a!su!honra!o!a!su!reputación.!Toda!persona!tiene!derecho!a!
la!protección!de!la!ley!contra!tales!injerencias!o!ataques”.! !
A!partir!de!esto,!la!Convención!Europea!para!la!Protección!de!los!Derechos!Humanos!y!
Libertades! Fundamentales,! firmada! el! 4! de! noviembre! de! 1950! en! Roma,! recoge! en! su!
artículo!8!del!convenio,!el!derecho!de!las!personas!al!respeto!de!su!vida!privada!y!familiar,!
domicilio!y!correspondencia.!!
Más!adelante,!en!1966,!otra!resolución!de!la!Asamblea!general!de!la!ONU,!ratifica!en!el!
artículo!17!del!“Pacto!Internacional!de!Derechos!Civiles!y!Políticos”11
!lo!declarado!en!la!
Declaración!Universal!de!Derechos!Humanos:!
1.! “Nadie!será!objeto!de!injerencias!arbitrarias!o!ilegales!en!su!vida!privada,!su!familia,!
su!domicilio!o!correspondencia,!ni!de!ataques!ilegales!a!su!honra!y!reputación”.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
10
!ONU.!!http://www.un.org/es/documents/udhr/!!
11
!NUDH.!http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx!!

44. 44!
!
2.! “Toda!persona!tiene!derecho!a!la!protección!de!la!ley!contra!esas!injerencias!o!esos!
ataques”.!! !! !! !! !
!
En! 1970,! el! Parlamento! Alemán! aprueba! la! primera! ley! de! protección! de! datos!
(Datenschutz),! actualizada! posteriormente! en! 1977! con! Ley! Federal!
Bundesdatenschutzgesetz12
,!que!impiden!la!transmisión!o!utilización!de!datos!personales!
sin!la!autorización!de!las!personas!interesadas.!
En!1973,!se!aprueba!en!Suecia!la!“Data!Act”13
,!que!se!convierte!en!la!primera!ley!nacional!
que!trata!de!proteger!los!datos!personales!procesados!en!mediante!computadores.!!
Estados!Unidos,!aprueba!en!1974!la!“Privacy'act'of'1974”14
,!que!establece!un!código!de!
buenas! prácticas! que! supervise! la! recogida,! mantenimiento,! uso! y! distribución! de!
información!personal!por!parte!de!las!agencias!federales.!!
Por!otro!lado,!la!Organización!para!la!Cooperación!y!el!Desarrollo,!estableció!en!1980!las!
directrices! sobre! protección! de! privacidad! y! flujos! transfronterizos! de! datos! personales!
sobre!los!que!posteriormente!se!asentaron!las!políticas!a!nivel!europeo,!y!posteriormente!a!
nivel!nacional.!15
!
Principio!básico!de!aplicación!
nacional!
Descripción!
Principio!de!limitación!de!recogida!
Deberán!existir!límites!para!la!recogida!de!datos!personales!y!
cualquiera!de!estos!datos!deberá!obtenerse!con!medios!legales!
y!justos!y,!siempre!que!sea!apropiado,!con!el!conocimiento!o!
consentimiento!del!sujeto!implicado.!
Principio!de!calidad!de!los!datos!
Los!datos!personales!deberán!ser!relevantes!para!el!propósito!
de!su!uso!y,!en!la!medida!de!lo!necesario!para!dicho!propósito,!
exactos,!completos!y!actuales.!
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
12
!Federal!Data!Protection!Act.!http://www.iuscomp.org/gla/statutes/BDSG.htm!!
13
!Implementing!Data!Protection!in!Law.!http://www.scandinavianlaw.se/pdf/47=18.pdf!!
14
!Privacy!Act!Of!1974.!http://www.justice.gov/opcl/privacy=act=1974!!
15
!OCDE.!Directrices!de!la!OCDE!sobre!protección!de!la!privacidad!y!los!flujos!transfronterizos!de!datos!
personales.!http://www.oecd.org/sti/ieconomy/15590267.pdf!!

45. 45!
!
Principio!de!especificación!del!
propósito!
El!propósito!de!la!recogida!de!datos!se!deberá!especificar!a!más!
tardar!en!el!momento!en!que!se!produce!dicha!recogida,!y!su!
uso!se!verá!limitado!al!cumplimiento!de!los!objetivos!u!otros!que!
no!sean!incompatibles!con!el!propósito!original,!especificando!
en!cada!momento!el!cambio!de!objetivo.!
Principio!de!limitación!de!uso!
No! se! deberá! divulgar,! poner! a! disposición! o! usar! los! datos!
personales!para!propósitos!que!no!cumplan!lo!expuesto!en!el!
apartado!9,!excepto:!
•!Si!se!tiene!el!consentimiento!del!sujeto!implicado!o!
•!Por!imposición!legal!o!de!las!autoridades.!
Principio!de!salvaguardia!de!la!
seguridad!
Se! emplearán! salvaguardas! razonables! de! seguridad! para!
proteger! los! datos! personales! contra! riesgos,! tales! como!
pérdida,!acceso!no!autorizado,!destrucción,!uso,!modificación!o!
divulgación!de!los!mismos!
Principio!de!transparencia!
Deberá! existir! una! política! general! sobre! transparencia! en!
cuanto! a! evolución,! prácticas! y! políticas! relativas! a! datos!
personales.!Se!deberá!contar!con!medios!ágiles!para!determinar!
la!existencia!y!la!naturaleza!de!datos!personales,!el!propósito!
principal!para!su!uso!y!la!identidad!y!lugar!de!residencia!habitual!
de!quien!controla!esos!datos.!
Principio!de!participación!
individual!
Todo!individuo!tendrá!derecho!a:!
●! Que!el!controlador!de!datos!u!otra!fuente!le!confirme!
que!tiene!datos!sobre!su!persona;!!
●! Que!se!le!comuniquen!los!datos!relativos!a!su!persona!
! –!en!un!tiempo!razonable;!
! –!a!un!precio,!si!existiese,!que!no!sea!excesivo;!!
!!!!!!!!!!!!!!!!–!de!forma!razonable;!y!
! –!de!manera!inteligible;!
●! Que!se!le!expliquen!las!razones!por!las!que!una!petición!
suya! según! los! subapartados! (a)! y! (b)! haya! sido!
denegada,!así!como!poder!cuestionar!tal!denegación;!y!

46. 46!
!
●! Expresar!dudas!sobre!los!datos!relativos!a!su!persona!
y,!si!su!reclamación!tiene!éxito,!conseguir!que!sus!datos!
se!eliminen,!rectifiquen,!completen!o!corrijan.!
!
Principio!de!responsabilidad!
Sobre!todo!controlador!de!datos!debe!recaer!la!responsabilidad!
del! cumplimiento! de! las! medidas! que! hagan! efectivos! los!
principios!señalados!anteriormente.!
Tras!la!publicación!de!las!directrices!OCDE,!se!firmó!en!1981!en!
Estrasburgo!el!“Convenio!para!la!Protección!de!las!Personas!con!
respecto! al! tratamiento! de! Datos! de! Carácter! Personal! en! el!
marco!del!Consejo!de!Europa”,!donde!los!países!firmantes!se!
comprometieron! a! establecer! en! su! legislación! garantías! con!
respecto! al! tratamiento! automatizado! de! datos! de! carácter!
personal,! y! se! mencionó! la! necesidad! mantener! un! nivel!
homogéneo!a!nivel!europeo!en!materia!de!protección!de!datos.!!
!
Tabla!1.!Principios!básicos!de!aplicación!nacional!
5.2.2! NOMATIVA!EUROPEA!
5.2.2.1! Introducción&
La!privacidad!de!las!personas,!es!un!tema!que!siempre!ha!preocupado!a!las!autoridades!
europeas,! como! se! puede! ver! en! la! extensa! regulación,! de! tal! forma,! como! indicamos!
anteriormente,!!ya!en!uno!de!los!primeros!artículos!de!la!Carta!Fundacional!de!Derechos!
Humanos!de!la!UE16
,!firmado!por!todos!los!miembros!de!la!unión,!trata!sobre!este!tema:!
Artículo!8.!Derecho!al!respeto!a!la!vida!privada!y!familiar.17
!
Toda'persona'tiene'derecho'al'respeto'de'su'vida'privada'y'familiar,'de'su'domicilio'y'de'su'
correspondencia.'
No'podrá'haber'injerencia'de'la'autoridad'pública'en'el'ejercicio'de'este'derecho'sino'en'
tanto'en'cuanto'esta'injerencia'esté'prevista'por'la'ley'y'constituya'una'medida'que,'en'una'
sociedad'democrática,'sea'necesaria'para'la'seguridad'nacional,'la'seguridad'pública,'el'
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16
!European!Convention!Human!Rights,!ECHR.!Página!oficial:!http://human=rights=convention.org!!
17
!Council!of!Europe!of!Human!Rights.!(1998).!Convenio!Europeo!de!Derechos!Humanos.!Artículo!8.!p.11!

47. 47!
!
bienestar' económico' del' país,' la' defensa' del' orden' y' la' prevención' de' las' infracciones'
penales,' la' protección' de' la' salud' o' de' la' moral,' o' la' protección' de' los' derechos' y' las'
libertades'de'los'demás.''
En! el! Artículo! 16! del! Tratado! de! Funcionamiento! de! la! Unión! Europea! (TFUE)18
,! se!
contemplaba!este!tema.!
“1.'Toda'persona'tiene'derecho'a'la'protección'de'los'datos'de'carácter'personal'que'le'
conciernan.!
2.'El'Parlamento'Europeo'y'el'Consejo'establecerán,'con'arreglo'al'procedimiento'legislativo'
ordinario,'las'normas'sobre'protección'de'las'personas'físicas'respecto'del'tratamiento'de'
datos'de'carácter'personal'por'las'instituciones,'órganos'y'organismos'de'la'Unión,'así'como'
por'los'Estados'miembros'en'el'ejercicio'de'las'actividades'comprendidas'en'el'ámbito'de'
aplicación'del'Derecho'de'la'Unión,'y'sobre'la'libre'circulación'de'estos'datos.'El'respeto'de'
dichas'normas'estará'sometido'al'control'de'autoridades'independientes.”!
Artículos!7!y!8!de!la!Carta!de!los!Derechos!Fundamentales!de!la!Unión!Europea.!19
!
Artículo'7.'Respeto'a'la'vida'privada'y'familiar.'!
Toda'persona'tiene'derecho'al'respeto'de'su'vida'privada'y'familiar,'de'su'domicilio'y'de'sus'
comunicaciones.!
Artículo'8.'Protección'de'datos'de'carácter'personal.'!
Toda' persona' tiene' derecho' a' la' protección' de' los' datos' de' carácter' personal' que' la'
conciernan.''
Estos'datos'se'tratarán'de'modo'leal,'para'fines'concretos'y'sobre'la'base'del'consentimiento'
de'la'persona'afectada'o'en'virtud'de'otro'fundamento'legítimo'previsto'por'la'ley.'Toda'
persona'tiene'derecho'a'acceder'a'los'datos'recogidos'que'la'conciernan'y'a'su'rectificación.''
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
18
!Versión!Consolidada!del!Tratado!de!Funcionamiento!de!la!Unión!Europea.!
http://www.boe.es/doue/2010/083/Z00047=00199.pdf!!
19
!Diario!Oficial!de!las!Comunidades!Europeas.!Carta!de!los!Derechos!Fundamentales!de!la!Unión!
Europea.!http://www.europarl.europa.eu/charter/pdf/text_es.pdf!!

48. 48!
!
El'respeto'de'estas'normas'quedará'sujeto'al'control'de'una'autoridad'independiente.'! !!
En!1981,!Francia,!Dinamarca,!Luxemburgo,!Alemania!y!Austria!firman!el!primer!convenio!
internacional!que!trata!la!protección!de!datos!personales.!Este!convenio!pasa!a!ser!conocido!
como!“Convenio!108”20
,!o!“Convenio!de!Estrasburgo”,!y!fue!el!precursor!de!la!“Directiva!
95/46/CE”.!Este!es!el!primer!instrumento!internacional!jurídicamente!vinculante!adoptado!
en!el!ámbito!de!la!protección!de!datos!personales!con!respecto!al!tratamiento!automatizado!
de!los!mismos.!!!
5.2.2.2! Directiva&95/46/CE&
Dentro!de!los!instrumentos!legislativos,!nos!centraremos!en!la!Directiva!95/46/CE,!por!la!
importancia!histórica!que!ha!tenido!en!el!posterior!desarrollo!de!las!legislaciones!nacionales!
dentro!de!la!Unión!Europea.!
El! 24! de! octubre! de! 1995,! la! Comisión! Europea! aprobó! la! directiva! 95/46/CE! sobre!
privacidad,!con!el!objetivo!de!armonizar!las!legislaciones!nacionales,!y!de!esta!forma,!poder!
facilitar!el!tránsito!y!de!proteger!los!datos!personales!dentro!de!la!UE.!
Para! este! fin,! se! pidió! a! los! quince! miembros! de! la! UE! que! adaptaran! sus! respectivas!
legislaciones!antes!de!octubre!de!1998,!que!en!el!caso!de!España,!se!tradujo!en!el!desarrollo!
y!aprobación!de!la!LOPD,!o!Ley!Orgánica!15/1999,!de!13!de!diciembre,!de!Protección!de!
Datos! de! Carácter! Personal,! que! fue! la! adaptación! de! nuestra! normativa! nacional! a! los!
requisitos!exigidos!en!la!directiva!europea.!
La!directiva!consta!de!34!artículos,!estructurados!en!7!capítulos!y!una!disposición!final.!!
Y!como!la!propia!comisión!indica:21
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
20
!Convenio!Nº!108!del!Consejo!de!Europa,!de!28!de!Enero!de!1981,!para!la!protección!de!las!personas!
con!respecto!al!tratamiento!automatizado!de!datos!de!carácter!personal.!
https://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_consejo_europa/common/
PDFs/B.28=cp==CONVENIO=N=1o==108=DEL=CONSEJO=DE=EUROPA.pdf!!
21
!Europa.eu.!Protección!de!datos!personales.!
http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm!!

49. 49!
!
“La!Directiva!tiene!como!objetivo!proteger!los!derechos!y!las!libertades!de!las!personas!en!
lo!que!respecta!al!tratamiento!de!datos!personales,!estableciendo!principios!de!orientación!
para!determinar!la!licitud!de!dicho!tratamiento.!Dichos!principios!se!refieren!a:!
•! La!calidad!de!los!datos:!los!datos!personales!serán!tratados!de!manera!leal!y!lícita,!
y!recogidos!con!fines!determinados,!explícitos!y!legítimos.!Además,!serán!exactos!y,!
cuando!sea!necesario,!actualizados.!
•! La! legitimación! del! tratamiento:! el! tratamiento! de! datos! personales! sólo! podrá!
efectuarse!si!el!interesado!ha!dado!su!consentimiento!de!forma!inequívoca!o!si!el!
tratamiento!es!necesario!para:!
o! la!ejecución!de!un!contrato!en!el!que!el!interesado!sea!parte,!o!
o! el! cumplimiento! de! una! obligación! jurídica! a! la! que! esté! sujeto! el!
responsable!del!tratamiento,!o!
o! proteger!el!interés!vital!del!interesado,!o!
o! el!cumplimiento!de!una!misión!de!interés!público,!o!
o! la! satisfacción! del! interés! legítimo! perseguido! por! el! responsable! del!
tratamiento.!
•! Las!categorías!especiales!de!tratamiento:!deberá!prohibirse!el!tratamiento!de!datos!
personales! que! revelen! el! origen! racial! o! étnico,! las! opiniones! políticas,! las!
convicciones! religiosas! o! filosóficas! y! la! pertenencia! a! sindicatos,! así! como! el!
tratamiento!de!los!datos!relativos!a!la!salud!o!a!la!sexualidad.!Esta!disposición!va!
acompañada! de! reservas! que! se! aplicarán,! por! ejemplo,! en! caso! de! que! el!
tratamiento!sea!necesario!para!salvaguardar!el!interés!vital!del!interesado!o!para!la!
prevención!o!el!diagnóstico!médico.!
•! La! información! a! los! afectados! por! dicho! tratamiento:! el! responsable! del!
tratamiento! deberá! facilitar! cierta! cantidad! de! información! (identidad! del!
responsable!del!tratamiento,!fines!del!tratamiento,!destinatarios!de!los!datos,!etc.)!
a!la!persona!de!quien!se!recaben!los!datos!que!le!conciernan.!
•! El!derecho!de!acceso!del!interesado!a!los!datos:!todos!los!interesados!deberán!tener!
el!derecho!de!obtener!del!responsable!del!tratamiento:!
o! la!confirmación!de!la!existencia!o!inexistencia!del!tratamiento!de!datos!que!
le!conciernen!y!la!comunicación!de!los!datos!objeto!de!los!tratamientos;!

50. 50!
!
o! la!rectificación,!la!supresión!o!el!bloqueo!de!los!datos!cuyo!tratamiento!no!
se!ajuste!a!las!disposiciones!de!la!presente!Directiva,!en!particular!a!causa!
del!carácter!incompleto!o!inexacto!de!los!datos,!así!como!la!notificación!a!
los! terceros! a! quienes! se! hayan! comunicado! los! datos! de! dichas!
modificaciones.!
•! Las!excepciones!y!limitaciones:!se!podrá!limitar!el!alcance!de!los!principios!relativos!
a!la!calidad!de!los!datos,!la!información!del!interesado,!el!derecho!de!acceso!y!la!
publicidad! de! los! tratamientos! con! objeto! de! salvaguardar,! entre! otras! cosas,! la!
seguridad!del!Estado,!la!defensa,!la!seguridad!pública,!la!represión!de!infracciones!
penales,!un!interés!económico!y!financiero!importante!de!un!Estado!miembro!o!de!
la!UE!o!la!protección!del!interesado.!
•! El!derecho!del!interesado!a!oponerse!al!tratamiento:!el!interesado!deberá!tener!
derecho!a!oponerse,!por!razones!legítimas,!a!que!los!datos!que!le!conciernen!sean!
objeto!de!tratamiento.!También!deberá!tener!la!posibilidad!de!oponerse,!previa!
petición!y!sin!gastos,!al!tratamiento!de!los!datos!respecto!de!los!cuales!se!prevea!un!
tratamiento!destinado!a!la!prospección.!Por!último,!deberá!ser!informado!antes!de!
que!los!datos!se!comuniquen!a!terceros!a!efectos!de!prospección!y!tendrá!derecho!
a!oponerse!a!dicha!comunicación.!
•! La!confidencialidad!y!la!seguridad!del!tratamiento:!las!personas!que!actúen!bajo!la!
autoridad!del!responsable!o!del!encargado!del!tratamiento,!incluido!este!último,!
sólo!podrán!tratar!datos!personales!a!los!que!tengan!acceso,!cuando!se!lo!encargue!
el! responsable! del! tratamiento.! Por! otra! parte,! el! responsable! del! tratamiento!
deberá!aplicar!las!medidas!adecuadas!para!la!protección!de!los!datos!personales!
contra! la! destrucción,! accidental! o! ilícita,! la! pérdida! accidental,! la! alteración,! la!
difusión!o!el!acceso!no!autorizados.!
•! La! notificación! del! tratamiento! a! la! autoridad! de! control:! el! responsable! del!
tratamiento! efectuará! una! notificación! a! la! autoridad! de! control! nacional! con!
anterioridad!a!la!realización!de!un!tratamiento.!La!autoridad!de!control!realizará!
comprobaciones!previas!sobre!los!posibles!riesgos!para!los!derechos!y!libertades!de!
los!interesados!una!vez!que!haya!recibido!la!notificación.!Deberá!procederse!a!la!
publicidad!de!los!tratamientos!y!las!autoridades!de!control!llevarán!un!registro!de!
los!tratamientos!notificados.”!

51. 51!
!
A!pesar!de!ser!el!marco!de!referencia!de!las!legislaciones!estatales,!debemos!apuntar!que!
desde!el!año!2012!se!encuentra!en!marcha!un!proceso!de!reforma!de!esta!norma,!debido!a!
varios!problemas!que!surgieron!tras!la!entrada!en!vigor!de!esta!norma,!como!es!la!diferencia!
en!la!forma!de!implementar!o!adecuar!esta!normativa!a!la!normativa!interna!de!cada!país,!
lo!que!da!como!resultado!diferencias!en!la!forma!de!aplicarla.!
5.2.2.3! Decisión&520/2000/CE22
&o&Safe&Harbour&
El!desarrollo!de!las!legislaciones!nacionales!basándose!en!la!directiva!95/46/CE!supuso!un!
duro! golpe! para! las! empresas! norteamericanas! a! la! hora! de! adaptarse! a! la! normativa!
europea!y!de!cada!país,!ya!que!contaban!con!una!legislación!bastante!más!laxa!en!esta!
materia.!
La!forma!que!encontraron!de!solventar!este!problema,!es!la!negociación!de!Estados!Unidos,!
en! concreto! su! Departamento! de! Comercio! con! la! Unión! Europea,! la! creación! de! unos!
principios!de!“Puerto!Seguro”,!que!garantizaría!que!las!empresas!que!se!adhieran!a!esos!
principios!y!su!compromiso!de!llevarlos!a!la!práctica!(las!empresas!deben!manifestar!su!
adhesión! ante! la! Oficina! Federal! de! Comercio),! mantendrían! un! nivel! adecuado! de!
protección!exigido!por!la!directiva.!!
Esto!quiere!decir!que!se!trata!de!un!programa!al!que!se!adhieren!las!empresas!de!forma!
voluntaria,!y!son!ellas!mismas!las!que!se!comprometen!a!respetar!los!principios,!sin!ningún!
tipo!de!control!por!parte!de!ningún!organismo!oficial.!!
Los!principios!del!Puerto!Seguro!son!los!siguientes:!23
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
22
!The!implementation!of!Commission!Decision!520/2000/EC!on!the!adequate!protection!of!personal!data!
provided!by!the!Safe!Harbour!privacy!Principles!and!related!Frequently!Asked!Question!issued!by!the!US!
Department! of! Commerce.! http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec=2004=
1323_en.pdf!!
23
!Communication!from!the!Commission!to!the!European!Parliament!and!The!Council!on!the!Functioning!
of! the! Safe! Harbour! from! the! Perspective! of! EU! Citizens! and! Companies! Stablished! in! the! EU!
http://ec.europa.eu/justice/data=protection/files/com_2013_847_en.pdf!!

52. 52!
!
Notificación!(Notice'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!tiene!la!
obligación!de!informar!a!los!interesados!sobre!la!finalidad!por!
la! que! fueron! recogidos! sus! datos! personales,! así! como! de!
identificar!al!responsable!del!fichero,!para!poder!ejercitar!sus!
derechos!(ARCO).!!(Artículo!5!LOPD)!
Opción!(Choice'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!tiene!la!
obligación!de!ofrecer!la!posibilidad!de!decidir!si!los!datos!de!
carácter! personal! pueden! ser! cedidos! o! no! a! un! tercero.!
(Artículo!6!LOPD)!
Seguridad!(Security'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deben!
adoptar!todas!las!medidas!técnicas!y!organizativas!necesarias!
que!garanticen!la!seguridad!de!los!datos!de!carácter!personal!
y! eviten! su! alteración,! pérdida,! tratamiento! o! acceso! no!
autorizado.!(Artículo!9!LOPD)!
Integridad!de!los!Datos!
(Data'Integrity'Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
recoger! únicamente! los! datos! necesarios! para! los! fines!
específicos! para! los! que! fueron! recogidos.! Basado! en! el!
principio!de!“Calidad!de!los!datos”!de!la!Directiva!95/46/CE!y!
recogido!también!en!la!LOPD.!
Acceso!(Access'Principle)! Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
permitir! a! los! titulares! de! los! datos! que! accedan! a! la!
información,!y!la!corrijan!o!eliminen!si!no!es!exacta.!Derechos!
ARCO.!(Título!III.!LOPD)!
Transferencia!a!terceras!
partes!(Transfer'to'Third'
Parties)!
!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
garantizar! que! sólo! será! posible! la! transferencia! de! datos!
personales!cuando!las!entidades!o!países!destinatarios!estén!
suscritos!al!Puerto!Seguro,!o!sean!países!de!la!Unión!Europea.!
(Artículos!9!y!12.!LOPD)!

53. 53!
!
!
Tabla!2.!Principios!puerto!Seguro!
!
5.2.2.4! Decisión&2010/87/UE&
También!vamos!a!contemplar!en!este!trabajo!la!Decisión!2010/87/UE!de!la!Comisión,!de!5!
de!febrero!de!2010,!pues!ofrece!unas!cláusulas!contractuales!tipo!para!la!transferencia!de!
datos! personales! a! los! encargados! del! tratamiento! establecidos! en! terceros! países,! de!
conformidad!con!la!Directiva!95/46/CE!del!Parlamento!Europeo!y!del!Consejo.!!
En!el!caso!de!la!computación!en!la!nube:!24
!
“Si!la!relación!se!produce!entre!un!responsable!y!un!encargado!de!tratamiento,!las!cláusulas!
tipo!de!conformidad!con!la!Decisión!2010/87/CE!de!la!Comisión!son!un!instrumento!que!
puede! ser! utilizado! como! base! para! que! la! computación! en! nube! ofrezca! garantías!
adecuadas!en!el!contexto!de!las!transferencias!internacionales.!
La!Decisión!2010/87/UE!debe!entenderse!sin!perjuicio!de!las!autorizaciones!nacionales!que!
puedan!conceder!los!Estados!miembros!de!conformidad!con!las!disposiciones!nacionales!de!
aplicación! del! artículo! 26.2! de! la! Directiva! 95/46/CE.! La! Decisión! tendrá! como! efecto!
únicamente!exigir!a!los!Estados!miembros!que!no!se!nieguen!a!reconocer!que!las!cláusulas!
contractuales!tipo!establecidas!en!ella!proporcionan!las!garantías!adecuadas,!por!lo!que!no!
afectará!de!ninguna!manera!a!otras!cláusulas!contractuales.”!
Según!la!AEPD,!se!considera!que!los!contratos!entre!exportador!e!importador!de!datos!que!
contengan!las!cláusulas!contractuales!de!esta!decisión,!establecen!garantías!adecuadas.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
24
!Guash!Portas,!Vicente.!Soler!Fuensanta,!José!Ramón.!Cloud!Computing,!Cláusulas!contractuales!y!
reglas!corporativas!vinculates.!Refista!de!Derecho!UNED.!Num.!14.!2014!pág.!258!
http://revistas.uned.es/index.php/RDUNED/article/viewFile/13300/12171!!
Aplicación! Las! organizaciones! que! se! adhieren! al! Puerto! Seguro,! se!
comprometen!a!garantizar!los!propios!propios!principios!del!
Puerto! Seguro,! articulando! mecanismo! independientes! que!
verifiquen!su!cumplimiento.!

54. 54!
!
5.2.3! LEGISLACIÓN!ESPAÑOLA!
5.2.3.1! Constitución&Española&
En!la!constitución!española!de!1978,!dentro!del!Título!I,!es!decir,!el!de!“Los!derechos!y!
deberes!fundamentales”,!ya!se!establecía!el!derecho!a!la!protección!de!la!de!privacidad.!
Artículo!18:!
1.! “Se!garantiza!el!derecho!al!honor,!a!la!intimidad!personal!y!familiar!y!a!la!propia!
imagen”.!
2.! “El! domicilio! es! inviolable.! Ninguna! entrada! o! registro! podrá! hacerse! en! él! sin!
consentimiento!del!titular!o!resolución!judicial,!salvo!en!caso!de!flagrante!delito”.!
3.! “Se! garantiza! el! secreto! de! las! comunicaciones! y,! en! especial,! de! las! postales,!
telegráficas!y!telefónicas,!salvo!resolución!judicial”.!
4.! “La! Ley! limitará! el! uso! de! la! informática! para! garantizar! el! honor! y! la! intimidad!
personal!y!familiar!de!los!ciudadanos!y!el!pleno!ejercicio!de!sus!derechos”.!
5.2.3.2! Ley&Orgánica&de&Protección&de&Datos&(LOPD)&y&Real&Decreto&1720/2007&(RLOPD)&
5.2.3.2.1! Introducción!
La!Ley!Orgánica!de!Protección!de!Datos!se!desarrolló!con!dos!objetivos,!el!primero!de!ellos!
fue!desarrollar!el!artículo!18!de!la!constitución25
,!y!el!segundo,!trasponer!al!ordenamiento!
jurídico! español! la! Directiva! Europea! 95/46/CE! de! 24! de! Octubre! de! 1995,! relativa! a! la!
protección!de!las!personas!físicas!en!lo!que!respecta!al!tratamiento!de!datos!personales!y!a!
la! libre! circulación! de! estos! datos.! Tiene! por! objeto,! <<garantizar! y! proteger,! en! lo! que!
concierne! al! tratamiento! de! datos! personales,! las! libertades! públicas! y! los! derechos!
fundamentales!de!las!personas!físicas,!y!especialmente!de!su!honor!e!intimidad!personal.>>!
Fue!publicada!en!el!BOE!298!de!14=12=199926
!
De!la!misma!forma,!dada!la!importancia!de!salvaguardar!la!necesaria!seguridad!jurídica!de!
los!derechos!fundamentales!en!materia!de!protección!de!datos!se!desarrolló!El!Real!Decreto!
1720/2007,!de!21!de!diciembre,!por!el!que!se!aprueba!el!Reglamento!de!desarrollo!de!la!Ley!
Orgánica! 15/1999,! de! 13! de! diciembre.! Hay! que! tener! en! cuenta! que! no! reitera! los!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25
Artículo!18!constitución!
26
!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!

55. 55!
!
contenidos!de!esta!norma!superior,!sino!que,!desarrolla!los!mandatos!contenidos!en!ella!!y!
añade!aquellos!que!se!ha!demostrado!que!necesitan!de!mayor!precisión.!
Fue!publicado!en!el!BOE!979!de!19=01=2008.27
!
5.2.3.2.2! Contenido!de!la!Norma!
Ambas!legislaciones!consolidadas,!aplican!tanto!a!organismo!públicos!como!privados!que!
hagan! tratamiento! de! datos! de! carácter! personal,! o! lo! que! es! lo! mismo,! aplica! a! todo!
tratamiento!que!se!haga!de!información!numérica,!alfabética,!gráfica,!fotográfica!o!acústica!
o! de! cualquier! otro! tipo! que! identifique! o! pueda! identificar! a! una! persona! física.! Esto!
comprende!desde!una!simple!recogida!de!datos!a!través!de!un!formulario!web,!hasta!el!
almacenamiento!de!datos!que!realizan!las!empresas!de!hosting.!
Por!ley!se!rige!que!todo!tratamiento!de!datos!de!carácter!personal!que!se!realice,!o!utilice!
recursos!para!ello!sin!fines!de!tránsito,!situado!dentro!de!territorio!español,!debe!de!cumplir!
necesariamente!con!lo!que!dictamina!la!LOPD.!Se!excluye!de!dicha!aplicación,!con!arreglo!al!
derecho! civil! y! derecho! mercantil,! todo! dato! que! se! considere,! utilizado! con! fines!
domésticos!o!personales,!de!persona!jurídica!o!personas!de!contacto!de!las!mismas,!de!
personas!fallecidas,!de!protección!de!materias!clasificadas!y!del!terrorismo!o!delincuencia!
organizada.!!
Es! importante! considerar,! ya! que! es! uno! de! los! fundamentos! sobre! los! que! centra! La!
Constitución!española28
,!que!mediante!el!derecho!a!la!autodeterminación!informativa,!todo!
ciudadano!tiene!derecho!a!saber!qué!se!hace!con!su!información!y!a!ejercer!control!sobre!
la!misma,!lo!que!implica,!poder!establecer!derecho!de!acceso,!rectificación,!cancelación!y!
oposición.!
5.2.3.2.3! Sistemas!automatizados!
Hoy! en! día! la! mayor! parte! de! la! información! de! las! empresas! reside! en! ficheros! o!
documentos!automatizados.!Siempre!que!se!cree!cualquier!fichero!de!titularidad!privada!
que!contengan!datos!de!carácter!personal!!es!necesario!ponerlo!en!conocimiento!de!la!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
27
!http://www.boe.es/buscar/act.php?id=BOE=A=2008=979!!
28
!http://www.boe.es/buscar/pdf/1978/BOE=A=1978=31229=consolidado.pdf!

56. 56!
!
Agencia!de!Protección!de!Datos!(AGPD),!!que!cuenta!con!potestad!para!inspeccionar!los!
ficheros,29
!indicando!la!siguiente!información30
:!
●! Responsable!del!fichero.!
●! Finalidad!del!fichero!y!uso!previsto.!
●! Ubicación.!
●! Tipo!de!datos.!
●! Medidas!de!seguridad!adoptadas!en!función!del!nivel!de!privacidad!de!los!datos.!
●! Cesiones!de!carácter!personal!que!se!prevean!realizar.!
●! Transferencias!de!datos!que!se!prevean!a!países!de!terceros.!
●! Identificación!del!fichero!RD!
●! Sistema!de!tratamiento!empleado!en!su!organización.!
●! Colectivo!de!persona!sobre!el!que!se!obtienen!los!datos,!si!aplica.!
●! Procedimiento!y!procedencia!de!los!datos.!
●! Categoría!de!los!datos.!
●! Servicio!o!unidad!de!acceso.!
●! Indicación!del!nivel!de!seguridad!aplicado.!
●! Identificación!del!encargado!del!tratamiento.!
Cambios!que!se!realicen!en!cualquiera!de!los!tres!primeros!puntos!tendrán!siempre!que!ser!
comunicados!a!la!AGPD.!En!el!caso!de!que!se!realice!la!primera!cesión!de!datos!se!deberá!
informar!a!los!afectados!y!notificar!a!la!AGPD!de31
:!
●! La!finalidad!del!fichero!
●! La!naturaleza!de!los!datos!
●! El!nombre!y!dirección!del!cesionario!
!
Hay!que!tener!en!cuenta!que!si!los!datos!son!facilitados!a!un!tercero,!a!no!ser!que!la!cesión!
se! realice! con! arreglo! a! la! prestación! de! un! servicio! al! interesado! y! bajo! un! acuerdo!
contractual!entre!el!responsable!de!la!información!y!el!prestador!de!servicios,!es!de!vital!
importancia!ponerlo!en!conocimientos!del!interesado!para!que!otorgue!su!consentimiento.!
Toda!cesión!a!un!tercero!implica!tomar!las!medidas!y!establecer!las!cláusulas!contractuales!
oportunas!que!garanticen!la!seguridad!de!la!información!y!el!cumplimiento!de!la!LOPD,!
pudiendo! en! todo! momento,! o! una! vez! cumplida! la! prestación! contractual,! destruir! la!
información! o! reclamar! su! devolución.! El! hecho! de! que! un! tercero! encargado! del!
tratamiento!de!los!datos,!incumpla!una!de!las!cláusulas!pactadas,!ceda!o!destine!el!uso!de!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
29
!Artículo!40.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!
30
!Artículo!26.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!
31
!Artículo!27.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!

57. 57!
!
los!datos!a!otro!fin!no!acordado,!generará!que!adquiera!también!responsabilidad!sobre!
dichas!acciones,!respondiendo!a!las!infracciones!cometidas.!
En!el!caso!de!que!la!transferencia!que!se!realice!de!los!datos!sea!internacional,!el!país!
destino!debe!proporcionar!unas!medidas!de!protección!equiparables!a!las!solicitadas!en!la!
LOPD!y!artículo!70!RD!y!contar!con!la!autorización!del!Director!de!la!AGPD,!que!valorará!el!
carácter!adecuado!del!nivel!de!protección!en!función!de32
:!
●! La!naturaleza!de!los!datos.!
●! Finalidad!de!los!datos.!
●! Duración!del!tratamiento!de!los!datos.!
●! País!de!origen!y!destino.!
●! Normas!de!derecho!generales!o!sectoriales!del!país!destino.!
●! Informes!de!la!comisión!Europea.!
●! Normas!profesionales.!
●! Medidas!de!seguridad!en!vigor!en!dichos!países.!
5.2.3.2.4! Nivel!de!privacidad!de!los!datos!
Atendiendo!a!la!naturaleza!de!los!datos!y!dentro!del!marco!legal!de!la!constitución!española!!
se!establecen!tres!niveles!acumulativos!de!privacidad!de!los!datos,!alto,!medio!y!básico.!
!
Nivel! Tipología!de!datos!
Básico!
Comprende!cualquier!datos!que!identifique!a!una!persona!física!que!no!entre!dentro!del!nivel!medio!
y!alto.!Puede!ser!su!nombre,!dirección,!teléfono,!e=mail,!foto,!imagen,!cuenta!bancaria,!número!de!
tarjeta! de! crédito,! estado! civil,! fecha! y! lugar! de! nacimiento,! currículum,! formación,! titulaciones,!
expediente,!sexo,!nacionalidad,!licencias,!permisos,!autorizaciones,!!etc.!
Medio!
Comprende!cualquier!fichero!que!contenga!!datos!de:!
o Infracciones!administrativas!o!penales.
o Solvencia!patrimonial!o!crédito.
o Entidades!financieras!para!la!prestación!de!servicios!financieros.
o Entidades!Gestoras!y!Servicios!Comunes!de!la!Seguridad!Social.
o Mutuas!de!accidentes!de!trabajo!y!enfermedades!profesionales!de!la!seguridad!social
o Ficheros!de!carácter!personal!que!ofrezcan!definición!de!las!características!!o!de!la!personalidad!
de!los!ciudadanos!que!permitan!evaluar!aspectos!de!personalidad!y!comportamiento!de!los!mismos.
o Fichero!de!operadoras!!que!presten!servicios!de!comunicaciones*
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
32
!Artículo!33.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!
!
!

58. 58!
!
!!
*Aplica!medidas!de!nivel!alto!contenidas!en!!artículo!103!
Alto!
Comprende!cualquier!fichero!que!contenga!datos!de!carácter!personal!referentes!a:!
o! Ideología*!
o! Afiliación!sindical*.!
o! Religión*.!
o! Creencias*.!
o! Origen!racial*.!
o! Salud*,!a!no!ser!que!solo!se!contengan!datos!relativos!al!grado,!condición!de!discapacidad!o!
invalidez!del!afectado,!en!ese!caso!se!aplicarán!sólo!medidas!de!nivel!básico.!
o! Vida!sexual*.!
o! Datos!recabados!para!fines!policiales.!
o! Datos!derivados!de!violencia!de!género.!
!!
*Se!les!aplicarán!sólo!medidas!de!nivel!básico!cuando!los!datos!se!rijan!por!el!artículo!81.5!del!RD.!
!
Tabla!3.!Nivel!de!privacidad!de!datos!
5.2.3.2.5! Medidas!de!seguridad!
Acorde!a!los!tres!niveles!mencionados!se!determinan!a!continuación!las!medidas!necesarias!
de!seguridad!a!las!que!se!hace!mención!en!el!artículo!9!de!la!LOPD,!en!el!que!se!establece!
que,!“el'responsable'del'fichero,'y'en'su'caso,'el'encargado'del'tratamiento,'deberán'adoptar'
la'medidas'técnicas'necesarias'y'organizativas'que'garanticen'la'seguridad'de'los'datos'de'
carácter' personal' y' eviten' su' alteración,' pérdida,' tratamiento' o' acceso' no' autorizado,'
habida'cuenta'del'estado'de'la'tecnología','la'naturaleza'de'los'datos'almacenados'y'los'
riesgos'a'que'están'expuestos,'ya'provengan'de'la'acción'humana'o'del'medio'físico'natural”.!
Estas!medidas!son!desarrolladas!posteriormente!!en!el!capítulo!!III!del!RD!1720/2007!y!se!
aplican!de!forma!acumulativa!a!los!diferentes!niveles!de!seguridad.!
Para!determinar!su!cumplimiento,!se!mapean!la!medidas!necesarias!de!seguridad!a!tomar!
con!los!controles!existentes!en!la!ISO!27002,!de!forma!que!si!la!información!proporcionada!
por!los!proveedores!se!resume!al!cumplimientos!de!ciertas!certificaciones!poder!establecer!
trazabilidad!entre!dicho!cumplimiento!y!el!grado!de!adecuación!de!la!infraestructura!o!el!
servicio!CLOUD!prestado,!a!la!LOPD.!
!