Cloud Computing y Protección de Datos

1,211 views
1,064 views

Published on

Intervención sobre protección de datos en el Webinar de Gestión Documental en Cloud Computing: beneficios y opciones, organizado por Athento para el día 30 de abril de 2014 a las 17 horas.

Published in: Internet
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,211
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
30
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Cloud Computing y Protección de Datos

  1. 1. WEBINAR SOBRE GESTIÓN DOCUMENTAL EN CLOUD COMPUTING: BENEFICIOS Y OPCIONES 30 de abril de 2014
  2. 2. Relación entre Cloud Computing y Protección de Datos en España Desde el momento en que una empresa española utiliza Cloud Computing para procesar, almacenar y gestionar documentación que incluye datos personales de sus clientes y usuarios, la implantación del servicio debe ser realizada conforme a los criterios y garantías que vienen determinadas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, reglamentos que las desarrollan y otras leyes y disposiciones complementarias que estén implicadas según cada caso. Autodeterminación lnformativa: Lo relevante no es ya que se conozca un determinado dato de una persona sino que el progreso tecnológico permite interrelacionar varios datos que se refieren a la persona pudiendo conformar su perfil personal o identidad. LOCALIZACIÓN DE LOS DATOS PORTABILIDAD DE LA INFORMACIÓN
  3. 3. Sujetos que intervienen en la contratación de servicios de CLOUD COMPUTING Proveedor de Servicios Cloud Clientes de Servicios Cloud Encargado del tratamiento de la normativa aplicable en los servicios que prestan. Responsable del tratamiento de los datos sobre los que se aplicarán los servicios de cloud computing contratados (empresa o profesional) Como la responsabilidad de que los servicios de cloud computing cumplan con la normativa de protección de datos se deriva de la propia aplicación de la ley, dicha obligación que corresponde al Cliente no se puede alterar contractualmente.
  4. 4. AGPD ha puesto en marcha una Política preventiva para cumplimiento de la LOPD que garantice que los clientes contratan proveedores cuya oferta de servicios cloud minimice los riegos de incumplimiento. Se ha trducido en los siguientes documentos. Guía para clientes que contraten servicios de Cloud Computing (Clientes) Orientaciones para prestadores de servicios de Cloud Computing (Prestadores) Documentación de referencia: AGPD y Cloud Computing
  5. 5. Diligencia en la Contratación El Cliente tiene que asegurarse que el proveedor de servicios cloud cumple con la normativa de datos personales. Se trata de la “obligación legal de diligencia para velar que el encargado del tratamiento cumple con el imperativo legal existente en materia de protección de datos (art. 20 sobre Relaciones entre el responsable y el encargado del tratamiento del Reglamento que desarrolla la LOPD). Requerimientos de información al Proveedor por parte del Cliente  Modalidad de Nube  Modalidad de contratación  Condiciones de la portabilidad de la información  Condiciones de la localización de los datos (determina la ley aplicable en cada caso)  Medidas de seguridad  Equipo Humano que realiza el tratamiento de los datos  Controles de acceso a la información El Proveedor para ser considerado transparente, debe facilitar información al Cliente sobre los mecanismos concretos que permiten cumplir con lo requisitos de la normativa de protección de datos. Gracias a esta comunicación se evita Falta de Transparencia y Falta de Control.
  6. 6. Transparencia en la Contratación Cuando Cliente y Prestador de Servicios actúan con Diligencia, uno asegurando el cumplimiento de la normativa y el otro facilitando la información que atestigue su cumplimiento, se produce la aplicación del Principio de Transparencia Para asegurar la transparencia el Cliente se pueden emplear estas preguntas 1. ¿Qué debo analizar y tener en cuenta antes de contratar servicios de cloud computing? 2. Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un servicio de cloud? 3. ¿Cuál es la legislación aplicable? 4. ¿Cuáles son mis obligaciones como cliente? 5. ¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación? 6. ¿Qué garantías se consideran adecuadas para las transferencias internacionales de datos? 7. ¿Qué medidas de seguridad son exigibles? 8. ¿Cómo puedo garantizar o asegurarme que se cumplen las medidas de seguridad? 9. ¿Qué compromisos de confidencialidad de los datos personales debo exigir? 10. ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable? (portabilidad) 11. ¿Cómo puedo asegurarme de que el proveedor de cloud no conserva los datos personales si se extingue el contrato? 12. ¿Cómo puedo garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO)?
  7. 7. Implantación de un Servicio Cloud Computing: tipos de Nubes Desde el punto de la aplicación de la Normativa de Protección de Datos:  Nube Pública: El proveedor de servicios de cloud proporciona sus recursos de forma abierta a entidades heterogéneas, sin más relación entre sí que haber cerrado un contrato con el mismo proveedor de servicio.  Nube Privada: cuando una entidad realiza la gestión y administración de sus servicios en la nube para las partes que la forman, sin que en la misma puedan participar entidades externas y manteniendo el control sobre ella. Una Nube Privada no necesariamente se implementa por la misma entidad que la utiliza, sino que puede contratarse a un tercero que actuará bajo su supervisión y en función de sus necesidades. Las entidades que optan por las Nubes Privadas son aquellas que son complejas y necesitan centralizar los recursos informáticos y, a la vez, ofrecer flexibilidad en la disponibilidad de los mismos, por ejemplo, administraciones públicas y grandes. Otros formatos: Soluciones intermedias respecto a las dos anteriores o Nubes Híbridas, en las que determinados servicios se ofrecen de forma pública y otros de forma privada. o Nubes Comunitarias, cuando dichos servicios son compartidos en una comunidad cerrada. o Nubes Privadas Virtuales, cuando sobre Nubes Públicas se implementan garantías adicionales de seguridad.
  8. 8. Implantación de un Servicio Cloud Computing: tipos de Contratos  Contratos de Adhesión (cláusulas contractuales cerradas): El proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor).  Contrato Negociado: El Cliente tiene la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación española y a las restricciones que esta regulación implica.
  9. 9. Garantías que deben incorporarse al Contrato Contratos de prestación de servicios, tienen que reflejar lo expuesto en el art. 12 de la LOPD:  El encargado del tratamiento (proveedor) únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento (cliente), que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.  Cumplido el contrato, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.  En el caso de que el encargado del tratamiento (proveedor) destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento (cliente), respondiendo de las infracciones en que hubiera incurrido personalmente.
  10. 10.  El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado ya provengan de la acción humana o del medio físico o natural  No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Garantías que deben incorporarse al Contrato Art 9, sobre Seguridad de Datos
  11. 11. Garantías que deben incorporarse al Contrato Portabilidad  La garantía de que el Cliente pueda recuperar íntegramente los datos personales que están albergados en el proveedor de servicios o que estos sean transferidos a un nuevo proveedor de servicios cuando finalice la prestación contractual en el momento que finalice la prestación contractual.  El contrato debe incluir soluciones específicas para garantizar esa portabilidad, adaptadas a las distintas modalidades de cloud y al tipo de servicios que se ofrezcan. Prestación de Servicios por terceras empresas subcontradas  La identificación de los servicios y la empresa a subcontratar informando de ello al Cliente (incluido el país en el que desarrolla sus servicios si están previstas transferencias internacionales de datos).  Que el cliente pueda tomar decisiones como consecuencia de la intervención de subcontratistas.  La celebración de un contrato entre el prestador de servicios de cloud computing y los subcontratistas con garantías equivalentes a las incluidas en el contrato con el cliente. Estas garantías también han de proporcionarlas aquellas compañías que actúan como partners de otros proveedores de cloud computing. Reseller, Agregadores de servicios cloud, cloud builders, proveedores de aplicaciones
  12. 12. Recomendaciones en materia contractual de la LOPD  Revisar y Adaptar los contratos teniendo en cuenta los criterios recogidos en la guía de la AGPD.  Informar a los clientes, si no los cumplen, de la necesidad de adoptar estas garantías.
  13. 13. Transferencias Internacionales de Datos: garantías para Clientes y Usuarios  Cesiones de datos a terceros países que implica la prestación de servicios cloud.  Mecanismos para permitir que las subcontrataciones relacionadas con transferencias internacionales se gestionen con fluidez, asegurando que el cliente responsable tiene información suficiente sobre los subcontratistas, o potenciales subcontratistas, y mantiene la capacidad de tomar decisiones. Las transferencias de datos no tendrán carácter internacional bajo este marco legal cuando se lleven a cabo en la Unión Europea o dentro del Acuerdo sobre el Espacio Económico Europeo.
  14. 14. Derechos ARCO: garantías para Clientes y Usuarios  Derechos de Acceso, Rectificación, Cancelación y Oposición (art. 15, 16 y 17 de la LOPD).  El Cliente en calidad de responsable del tratamiento de los datos personales es el responsable directo que tiene que garantizar el ejercicio en los plazos legales de los Derechos ARCO a los interesados.  Para garantizar el ejercicio de los Derechos ARCO es posible que precise la colaboración del Prestador de Servicios, el cual deberá:  Tener prevista dicha colaboración en su oferta de servicios.  Facilitar información al cliente relacionada con dicha colaboración
  15. 15. Contratación con Administraciones Públicas  Obligaciones legales cuando el Cliente es la Administración Pública  LOPD  Disposición adicional vigésimo sexta sobre “Protección de datos de carácter personal” del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, texto que reproduce esencialmente las obligaciones descritas en la LOPD, incluidos los supuestos de subcontrataciones.  Ley 11/2007, de 22 de junio, de Acceso electrónico de los Ciudadanos a los Servicios Públicos y el Real Decreto 1671/2009 que la desarrolla parcialmente.  Ofrecer servicios adaptados al Esquema Nacional de Interoperabilidad (RD 3/2010 y 4/2010, de 8 de enero).  Cuando al realizarse transferencias internacionales de datos, autoridades de terceros países requieran acceder a la información, el Proveedor de Servicios Cloud debe informar sobre esta posibilidad y sobre las opciones que las Administración que contrate los servicios puede adoptar sobre ella.
  16. 16. Contratación con Administraciones Públicas: Contrato  Contrato escrito (art. 12 de LOPD y 21 y 22 de su reglamento)  Ley de Contratos del Sector Público  El prestador de servicios tendrá la consideración de encargado de tratamiento.  Al término de la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado (portabilidad).  Subcontratación de Servicios por parte de los Prestadores de Servicios Que dicho tratamiento se especifique en el contrato (pregunta número 4). Que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la administración que actúa como responsable del tratamiento. (preguntas número 5 y 6). Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas).  Contratos deben especificar medidas técnicas y organizativas que el prestador de servicios va a poner en funcionamiento para garantizar la seguridad de los datos  Acuerdo de Nivel de Servicio (SLA) en el contrato en el caso de especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por las Administraciones Públicas como las Sedes Electrónicas.  La complejidad de los servicios contratados puede aconsejar la designación de un responsable del contrato (art. 52, Ley de Contratos con el Sector Público)
  17. 17. Contratación con Administraciones Públicas: Seguridad  La prestación de servicios por encargados de tratamiento en cloud debería quedar claramente identificada en el documento de seguridad (Título VIII, Capítulo II, art. 88 de RLOPD). Asimismo, el acceso a la información debe reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local, en la forma dispuesta por el Título VIII del RLOPD.  Aspectos de la implantación relacionados con el Esquema Nacional de Seguridad:  Análisis y gestión de riesgos: La migración de servicios y aplicaciones a entornos de cloud computing debe ser objeto de un análisis de riesgos que, en función de la sensibilidad de los datos y el nivel de amenazas, determine la conveniencia de esta solución y, en caso afirmativo, los controles y salvaguardas que deben implantarse para mitigar los riesgos hasta un nivel aceptable.  Profesionalidad: En cualquier modalidad de prestación, la seguridad esté atendida, revisada y auditada por personal cualificado.  Protección de la información almacenada y en tránsito: Debido a la especial sensibilidad de los datos tratados por las Administraciones Públicas, la aplicación de técnicas robustas de cifrado tanto a los datos en tránsito como a los datos almacenados para garantizar su confidencialidad. Asimismo, realización de copias de respaldo de la información de forma que se garantice la plena disponibilidad e integridad de los datos almacenados.  Incidentes de seguridad y continuidad de la actividad: adecuada gestión de las incidencias de seguridad y mecanismos que garanticen la continuidad de las operaciones en caso de catástrofes o incidentes severos.  Auditoría de la seguridad: Realización de las auditorías de seguridad ordinarias y extraordinarias previstas en el artículo 34 del ENS.
  18. 18. Contratación con Administraciones Públicas: Portabilidad e Interoperabilidad  La contratación de servicios de cloud computing por parte de las Administraciones Públicas debe garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de los derechos de acceso por parte de los ciudadanos, mediante el uso de formatos estandarizados de datos que cumplan los requisitos establecidos en el Esquema Nacional de Interoperabilidad:  Los documentos y servicios de administración electrónica que se pongan a disposición de los ciudadanos o de otras Administraciones Públicas deben encontrarse disponibles, como mínimo, mediante estándares abiertos. Asimismo, deben ser visualizables, accesibles y funcionalmente operables en condiciones que permitan satisfacer el principio de neutralidad tecnológica y eviten la discriminación a los ciudadanos por razón de su elección tecnológica. Deben adoptarse medidas organizativas y técnicas necesarias con el fin de garantizar la interoperabilidad en relación con la recuperación y conservación de los documentos electrónicos a lo largo de su ciclo de vida.  Conservación de los documentos electrónicos en el formato en el que hayan sido elaborados, enviados o recibidos, y preferentemente en un formato correspondiente a un estándar abierto que preserve a lo largo del tiempo la integridad del contenido de los documentos, de la firma electrónica y de los metadatos que lo acompañan.
  19. 19.  Correo-e: amaciasalegre@dokumentalistas.com  Twitter: @amaciasalegre  Web: http://www.dokumentalistas.com  Slideshare: http://www.slideshare.net/adrianmacias  Linkedin: http://es.linkedin.com/in/adrianmaciasalegre

×