Los mensajeros de los dioses (III). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Procedamos con la caída del mito, la destrucción de la leyenda. La propia Agencia Española de Protección de Datos, en su informe jurídico 411-2010 relativo a la comunicación de datos de accidentes de tráfico a compañías aseguradoras, reconoce la posibilidad de proporcionar información por vía telefónica bajo ciertas condiciones:

“En este sentido, esta Agencia ha señalado la posibilidad de facilitar datos por vía telefónica cuando el sistema utilizado para acreditar la identidad de la persona que llama impida que terceras personas no autorizadas puedan acceder a la información referida al afectado, procedimientos que normalmente exigen la existencia de una clave de acceso como mecanismo de identificación del interesado.

En el presente supuesto, habrá que estar igualmente a si el Organismo en el que presta servicios el consultante ha habilitado, con carácter general, un procedimiento de acreditación que permita, con la utilización de las claves que se establezcan y guardando las debidas medidas de seguridad, facilitar datos personales por esta vía.”

En esta línea también se pronunció la extinta Agencia de Protección de Datos de la Comunidad de Madrid en una Resolución contra el Hospital Universitario Puerta del Hierro respecto de la aplicación de las medidas de seguridad (artículo 9 LOPD). La Resolución concluía lo siguiente en su Fundamento de Derecho II:

“De acuerdo con la información obrante en los precedentes Antecedentes de Hecho, la denunciante comunicó a esta Agencia de Protección de Datos de la Comunidad de Madrid una presunta vulneración de la normativa sobre protección de datos por parte de personal del Servicio de … del Hospital Universitario Puerta de Hierro Majadahonda, al haberle comunicado por teléfono resultados de una prueba médica, sin comprobar la identidad del interlocutor, pudiendo haber ocurrido que dichos resultados hubieran sido dados a otro sujeto distinto de ella, la paciente.

El Hospital indica que, si bien existen instrucciones precisas para no facilitar información de resultados de pruebas médicas por teléfono, el médico de la paciente indica que se acordó en consulta previa con la interesada hacerlo así para decidir cuanto antes qué tratamiento seguir; estando conforme ésta en que ello se hiciera así, facilitó su número de teléfono para tal fin.

En la descripción de la llamada en cuestión queda claro que se habló con la paciente y que fue a ésta a quien se facilitó la información de los resultados. Así lo indica la propia interesada en la denuncia. En este caso el doctor que llamó a la paciente adoptó ciertas cautelas (no hablando de resultados sobre la prueba médica hasta que, por el curso de la conversación, comprobó que era la interesada directa). Por lo tanto, no hubo en este caso una vulneración del deber de secreto del médico o un quebranto de las medidas de seguridad.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (II). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Otro pilar encargado de soportar esta hipótesis lo podemos encontrar en la normativa sectorial, concretamente en el artículo 7 relativo al derecho a la intimidad de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica:

“1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.”

Igualmente, en el ámbito de la notificación administrativa, especialmente los actos de trámite por afectar a los derechos de los ciudadanos, analizando exclusivamente la forma de notificación por la analogía que presenta con el objeto del presente capítulo, queda patente la tensión entre la seguridad jurídica y la eficacia.

La notificación debe practicarse por cualquier medio que permita tener constancia de la recepción por el interesado o su representante, así como de la fecha, identidad y el contenido del acto notificado. El medio tradicional de notificación es el correo certificado con acuse de recibo, aunque a pesar de su desuso, también se emplea la comparecencia del interesado o su representante en la oficina correspondiente.

En este sentido, la jurisprudencia ha determinado que algunos medios de notificación no resultan idóneos por vulnerar los más elementales requisitos para entender válidamente practicada la notificación, y en otros supuestos ha resaltado la escasa o problemática eficacia probatoria de algunos medios. En el primer grupo la jurisprudencia ha incorporado el envío postal ordinario, el apartado de correos, el teléfono, la notificación verbal y la notificación introducida por debajo de la puerta.

Las razones por las que se excluye el teléfono son que no permite acreditar la identidad de la persona con quien se entendió la comunicación, ni dejar constancia de su recepción por el interesado (con carácter general se ha mostrado contrario a este medio el TC en sentencias del 22 de marzo de 1993 – RTC Ar. 1993/105; de 14 de septiembre de 1998, RTC Ar. 1998/176; en el ámbito de las notificaciones administrativas, STS de 11 de junio de 1990, Ar. 1990/5386).

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (I). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

HERMES

El experto en comunicaciones en la mitología griega, es el dios Hermes, el de las sandalias aladas. Debido a su estrecha conexión con la transmisión de los mensajes, Hermes también representa esa parte de nosotros/as que comunica, hace preguntas, averigua, investiga, cuestiona y curiosea. Pero Hermes también es hijo de Zeus o Júpiter, quien nos impulsa a desarrollar una visión más amplia, a distinguir lo esencial de lo accesorio, es decir, los intereses en juego, y a preguntarnos por el sentido de los mensajes que recibimos y de los que emitimos.

IRIS

Hija de Taumante y la oceánide Electra. Hermana de las Harpías. Personificación del arco iris. Diosa mensajera. Simboliza la unión entre el cielo y la tierra y la comunicación entre dioses y hombres. Junto a Hermes es la mensajera por excelencia. Transmite sobre todo los mensajes de Hera, para quien ejerce las funciones de criada. Es la esposa de Céfiro y la madre de Eros. Aparece en numerosos mitos realizando las funciones propias de su cargo. Se la representa con un tenue velo irisado, alas de oro en la espalda y un caduceo.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Cuando una historia ficticia adquiere significación universal o cuando un suceso tiene más de tradicional o maravilloso que de histórico o verdadero,  es el momento de hablar de mito o leyenda. En adelante, vamos a tratar de “robarle” estas cualidades y excelencias a la conocida expresión:

“NO SE PUEDE DAR INFORMACIÓN PERSONAL POR TELÉFONO”.

En su defensa, diremos que el carácter humano ha contribuido a su creación en la medida en que se ha simplificado y sacado de contexto. La tendencia a dejar las cosas como están, y a no alterar el estado de reposo, máxime cuando lo que hay que mover es una colosal organización, ha conducido a eliminar la segunda parte de la expresión:

“SIN UN PROCEDIMIENTO DE ACREDITACIÓN DE LA IDENTIDAD”

Detrás de esta actitud, de este comportamiento tan cauteloso de los servicios de atención al usuario, se encuentra el conocido deber de secreto esencial para garantizar el derecho fundamental a la protección de datos.

«Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»

Este deber de secreto afecta a todas las personas que accedan a información personal contenida  en  un  sistema  sujeto  al  cumplimiento  de  lo  previsto  por  la  Ley  Orgánica  de Protección de Datos Personales.

Esto explica, por ejemplo que en determinados servicios de atención telefónica se realicen preguntas para establecer la identidad del cliente antes de facilitar datos, que en un hospital nunca nos faciliten información sobre una persona que esté siendo atendida, o que nunca nos den acceso a datos de personas mayores de edad, aunque se trate de familiares directos, si no aportamos un escrito probando que nos han otorgado su representación.[1]

[1] AEPD. El derecho fundamental a la protección de datos: Guía para el Ciudadano

La apoteosis de Heracles (XIV). Conclusiones

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

El hecho de que los entornos en la nube proliferen de forma exponencial, obliga a los posibles usuarios a comprender mejor estos entornos y sus principales problemáticas. El término “computación en la nube” es amplio y su definición poco precisa. Por ello, a la hora de la elección de servicios en la nube, se ha de tener claro el tipo de infraestructura que lo soporta y el tipo de servicio que se ofrece.

La seguridad y la propiedad de los datos es uno de los aspectos clave. Los informes aportados por la AGPD muestran una gran preocupación por la propiedad y el tratamiento de los datos, debido a que estas infraestructuras pueden gestionarse en múltiples países, lo que puede generar conflictos en cuanto al marco legal que las regula. También se plantea que estos entornos, al manejar gran cantidad de datos, pueden ser objeto de fugas de información, ya sean intencionadas o fortuitas.

El cumplimiento normativo es uno de los pilares de la seguridad en entornos en la nube. En este caso, el problema se presenta debido a la falta de transparencia de estas infraestructuras, por lo que es muy recomendable que el suscriptor del servicio se informe claramente de cómo se gestiona el entorno.

En la gestión de un servicio en la nube, interviene multitud de software de distintos proveedores. Es decir, son entornos complejos, por lo que se ha de poner especial atención a las posibles vulnerabilidades del mismo y su rápida corrección.

Otros aspectos considerados importantes son la identidad y el control de acceso. Por lo general, la mayoría de las infraestructuras son compartidas por múltiples empresas o usuarios y su mala gestión puede provocar accesos no autorizados a datos confidenciales. La definición de una buena política de identidad y control de acceso, basada en políticas de mínimo privilegio, es esencial en entornos en la nube.

Por último, existe un denominador común en los aspectos mencionados. Se trata de los contratos de acuerdo de servicio. Todas las recomendaciones en lo referente a este asunto, indican que éstos deben de ser revisados y creados específicamente, detallando controles, normativas, medidas de protección, plazos de recuperación del servicio, etcétera.

La Agencia Española de Protección de Datos, está haciendo especial hincapié con su labor en la importancia de que cada cliente evalúe su caso concreto y decida si puede o no migrar datos o servicios a la nube. Adicionalmente a fijarse en el contrato en sí, es importante también que el prestador de servicios en la nube cumpla algún estándar de seguridad, como la ISO 27001[1], en el alcance relacionado con la protección de los datos de sus clientes.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

[1] Más información en Wikipedia: http://es.wikipedia.org/wiki/ISO_27001

 

Bibliografía y Referencias del capítulo:

  • INTECO – Seguridad, Observatorio, Guías.
  • Riesgos y amenazas en computación en la nube:
  • Estudio sobre el computación en la nube en el sector público en España
  • Hablando nube. Microsoft.
  • ISACA Journal 2012. Volume 5. nube Risk 10 Principles
  • ISACA Journal 2012. Volume 5. Gobernance in the nube
  • Guía para clientes que contraten servicios computación en la nube: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/
  • CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA
  • Utilización del computación en la nube por los despachos de abogados y el derecho a la protección de datos de carácter personal
  • http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/junio/
  • http://www.nubeblog.com/2011/03/28/proveedores-de-cloud-computing-magicos/
  • Virtualización y estructura de Cloud
  • http://www.ca.com/~/media/Files/lpg/Cloud_Academy_esp/

 

La apoteosis de Heracles (XIV). Estrategias de actuación frente a los riesgos en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Si se pretende incorporar la totalidad o parte del tratamiento de datos a servicios en la nube, se recomiendan las siguientes estrategias:

  • Evaluar los tratamientos y el nivel de protección de datos: el cliente ha de estudiar qué va a transferir a los servicios de computación en nube, considerando no sólo los beneficios, sino los potenciales riesgos que se van a asumir. Esto pasa por un conocimiento detallado por parte del responsable sobre los datos personales tratados. Es fundamental conocer los datos que cuenten con un especial nivel de protección según la legislación, como los datos de salud. La transferencia de datos a servicios de computación en la nube no excluye, en principio, a ningún tipo de dato. Siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas, en forma de medidas organizativas y técnicas proporcionadas por el proveedor.
  • Verificar las condiciones en que se presta el servicio: previamente a la contratación, es recomendable conocer las condiciones en las que se presta el servicio, con el fin de determinar si ofrecen un nivel adecuado de cumplimiento. Es importante contrastar en una lista de control, los elementos relativos a: la información proporcionada, ubicación del tratamiento, políticas de seguridad, existencia de subencargados, derechos de los usuarios, obligaciones legales del prestador del servicio, etcétera. Asimismo, es aconsejable comparar condiciones entre varios proveedores y no contratar servicios prestados en nube que no reúnan los requisitos legalmente establecidos. Hay que tener en cuenta los procedimientos de salida en caso de cambio de proveedor, para que se cumpla con la integridad de los datos y el pleno control del responsable sobre su destino posterior.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XIII). Requisitos Exigibles al Prestador de Servicios en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

A continuación, detallamos los requisitos que un organismo debe solicitar a un prestador de servicios de computación en la nube para estar alineado con el Esquema Nacional de Seguridad (ENS):

  • Análisis y gestión de riesgos: en función de la sensibilidad de los datos y nivel de amenazas, hay que determinar los controles y salvaguardas que tienen que implantarse para mitigar los riesgos hasta un nivel que pueda considerarse como aceptable.
  • Profesionalidad: en cualquier modalidad de prestación de servicios en la nube, debe exigirse que la seguridad esté atendida, revisada y auditada por personal cualificado.
  • Protección de la información almacenada y en tránsito: deben aplicarse técnicas robustas de cifrado; una medida necesaria para garantizar la confidencialidad. Asimismo, el contrato de prestación de servicios en la nube, debe contemplar la realización de copias de respaldo de la información de forma que se garantice la plena disponibilidad e integridad de los datos almacenados.
  • Incidentes de seguridad y continuidad de la actividad: debe contemplarse una adecuada gestión de las incidencias de seguridad, así como de los mecanismos que garanticen la continuidad de las operaciones en caso de catástrofes o incidentes severos.
  • Auditoría de seguridad: la contratación de servicios en la nube exige garantizar la realización de las auditorías de seguridad previstas en el artículo 34 del ENS.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XII). Aspectos a tener en cuenta a la hora de la elección del proveedor de servicios para su adaptación a la LOPD

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

La gestión de la información está en manos del cliente que contrata los servicios de la nube, al menos de forma virtual. Lo hace a través de Internet, accediendo a soluciones de bases de datos, correo electrónico, nóminas, etcétera.

En función del modelo utilizado, los datos pueden no estar realmente en manos del contratista: la propiedad, el mantenimiento y gestión del soporte físico de la información, los procesos y las comunicaciones, pueden encontrarse en manos de terceros.

El proveedor del servicio puede encontrarse en cualquier lugar del mundo y su objetivo último será proporcionar los servicios citados. Para ello, optimizará sus propios recursos a través de prácticas de deslocalización, compartición de recursos y movilidad, así como realizando subcontrataciones adicionales.

Una cosa importante a tener en cuenta es la portabilidad. A la hora de elegir el proveedor, es muy importante conocer si proporcionará una portabilidad abierta o cerrada, que determina el grado de facilidad con la que un cliente puede transferir toda su información a un coste razonable a otro proveedor. La contratación de servicios en la nube debe garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de los derechos de acceso por parte de los ciudadanos, mediante el uso de formatos estandarizados de datos que cumplan los requisitos establecidos en el Esquema Nacional de Interoperabilidad.

Localización del proceso y de los datos. Para la LOPD es determinante dónde están ubicados los datos. Dependiendo de si están en España o en otro país, habrá que establecer si la cesión de datos constituye una transferencia internacional o no, ya que las consecuencias legales de un tratamiento u otro son distintas.

Puede existir un único proveedor que disponga de toda la infraestructura necesaria para el cliente. O bien, puede no tratarse de un prestador final, sino que haga uso de distintos socios a los que subcontrate distintos servicios y cuyo objetivo es redimensionar continuamente los recursos de la nube de forma dinámica, en función de las condiciones de mercado. Desde el punto de vista del derecho de los ciudadanos y del ejercicio de las responsabilidades del cliente de dichos servicios, es importante saber qué proveedores están localizados dentro del Espacio Económico Europeo o en países que, de una u otra forma, garanticen un nivel adecuado de protección de los datos de carácter personal. Los derechos y obligaciones relativos a los datos de carácter personal han de garantizarse siempre, independientemente de dónde se ubiquen los datos.

El servicio ha de ser transparente, de manera que el contratista pueda conocer quién, cuándo y dónde se han procesado o almacenado los datos y en qué condiciones de seguridad.

La contratación de servicios de computación en la nube se realizará a través de un contrato de prestación de servicios. Es imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos. Si el contrato es negociado, el cliente debe poder fijar las condiciones de contratación en función de: el tipo de datos, medidas de seguridad, localización de los datos, esquema de subcontratación, portabilidad de los datos, etcétera. Sin embargo, en la mayoría de los casos, se ofertan contratos de adhesión, constituidos por cláusulas contractuales cerradas donde el cliente no puede negociar sus términos. Aunque hay que tener en cuenta que esto no eximirá ni al cliente ni al proveedor de las responsabilidades que determina la LOPD.

 La prestación de servicios por encargados de tratamiento en nube debería quedar claramente identificada en el documento de seguridad. El acceso a la información debe reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XI). Principales Riesgos de la Contratación en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Los riesgos principales de carácter legal y contractual a tener en cuenta en materia de computación en la nube pueden resumirse como sigue:

  • Protección de datos: las partes deberán suscribir un contrato redactado conforme al artículo 12 de la LOPD, como hemos reseñado anteriormente, si el proveedor de servicios de nube se encuentra establecido en España o en un país que ofrezca un nivel de protección de datos equivalente al existente en España. De lo contrario, el contrato deberá estar en línea con las cláusulas fijadas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010. En cualquier caso, las medidas de seguridad que deberá aplicar el proveedor serán las del Título VIII del RLOPD. Las sanciones administrativas previstas por la normativa de protección de datos en caso de incumplimiento pueden llegar a alcanzar los 600.000 Euros.
  • Acceso a la información administrativa por parte de los ciudadanos: el proveedor deberá garantizar que los ciudadanos puedan ejercer su derecho de acceso a la información pública e implantar medidas de seguridad y, en su caso, de restricción adecuadas.
  • Titularidad de derechos: las cuestiones relativas a la propiedad intelectual de los desarrollos, creaciones, u otras prestaciones que puedan tener asociados derechos intangibles a las que tenga acceso o se desarrollen por parte del proveedor deben quedar reguladas de forma expresa bajo el contrato.
  • Deslocalización de la información: es necesario que la entidad contratante conozca perfectamente la ubicación de los datos, incluyendo la posible intervención de subcontratistas en la prestación de servicios.
  • Dependencia del proveedor: la contratación de un servicio de computación en la nube sin estudiar futuras interoperabilidades con otros proveedores podría provocar grandes inconvenientes a la Administración a la hora de alojar o migrar directamente el servicio a otro proveedor con mejores características y, por ello, estas cuestiones deben tener reflejo adecuado en el contrato, pudiendo incluso preverse la aplicación de penalizaciones al proveedor en caso de incumplimiento de sus obligaciones en materia de interoperabilidad.
  • Indisponibilidad del servicio: es fundamental que tanto la Administración como, en su caso, sus administrados, puedan acceder al servicio cuando lo requieran. De lo contrario, se podría ver alterada la imagen y/o la productividad de la Administración, por no poder prestar el servicio habitual. Por ello, es necesario definir adecuadamente los tiempos de inactividad permisibles y las pérdidas de información aceptables, mediante un Acuerdo de Nivel de Servicio con el proveedor, que contemple porcentajes coherentes de disponibilidad y medidas compensatorias adecuadas en caso de incumplimiento.
  • Notificación de incidentes graves de seguridad: el mantenimiento y gestión de la seguridad es responsabilidad del proveedor. En caso de que exista un acceso no autorizado al centro de procesado de datos o se produzca el ataque de un pirata informático, la calidad del servicio puede verse afectada. El proveedor deberá gestionar estos sucesos con celeridad e informar de ellos con inmediatez a la Administración para que ésta pueda adoptar las medidas que en su caso estime necesarias.
  • Negativa del proveedor a ser auditado: pese a la posible confianza por parte de la Administración contratante hacia el proveedor, deben ser evaluadas las calidades acordadas mediante una auditoría. En determinados casos, el proveedor se puede negar a ser auditado. Frente a esta situación puede ser útil la solicitud de informes de auditoría oficiales (ISAE 3402) o certificaciones (ISO 27001) que garanticen niveles adecuados de calidad.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (X). Contratar en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

La contratación por parte de las Administraciones Públicas de servicios de computación en la nube que impliquen el tratamiento de datos de carácter personal, requiere la formalización de un contrato escrito en los términos previstos en el artículo 12 de la LOPD y en los artículos 20 a 22 de su reglamento de desarrollo.

Estos requisitos han sido específicamente recogidos en el ámbito de la contratación pública en la disposición adicional vigesimosexta del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, que establece que:

  • El prestador de servicios de computación en la nube tendrá la consideración de encargado de tratamiento.
  • Al término de la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado

 

Esta disposición también regula la posible subcontratación de servicios por parte del encargado de tratamiento, el prestador de servicios de computación en la nube, que deberá reunir los siguientes requisitos:

  • Que dicho tratamiento se haya especificado en el contrato firmado por la administración contratante y el prestador de servicios de computación en la nube.
  • Que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la administración que actúa como responsable del tratamiento.
  • Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD, que impone que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato

En los contratos de prestación de servicios de computación en la nube deben especificar las medidas técnicas y organizativas que el prestador de servicios tiene previsto implantar para garantizar la seguridad de los datos.

Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por las Administraciones Públicas (por ejemplo, en el caso de las sedes electrónicas) deben reflejarse en el contrato mediante un Acuerdo de Nivel de Servicio en el que se especifiquen los indicadores de calidad de servicio que van a ser medidos y los valores mínimos aceptables de los mismos.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (IX). Cumplimiento técnico y legal de la LOPD por parte de las Administraciones Públicas en la nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Los prestadores de servicios en Internet y, especialmente, los de servicios de computación en la nube, deben cumplir una serie de requerimientos establecidos por la Ley Orgánica de Protección de Datos (LOPD) del 13 de diciembre de 1999. Sin embargo, hasta el 26 de abril de 2013 del presente año, la Agencia Española de Protección de Datos (AEPD) no ha emitido las siguientes guías:

Una para los prestadores de servicios en la nube, titulada “Orientaciones para prestadores de servicios de Cloud Computing” 5.

Otra para los clientes, titulada “Guía para clientes que contraten servicios de Cloud Computing”.

La emisión de estas guías por la AEPD, entidad con capacidad sancionadora, pone de manifiesto el énfasis que están dando al cumplimiento de la legislación en estos servicios

Además de la LOPD y de su reglamento de desarrollo, las Administraciones Públicas están sujetas a un marco legal específico, al que debe adecuarse cualquier servicio basado en la nube que utilicen:

  • Ley de Contratos del Sector Público (Real Decreto Legislativo 3/2011, de 14 de noviembre).
  • Ley 11/2007 de Acceso Electrónicos de los Ciudadanos a los Servicios Públicos, y
  • RD 1671/2009 que desarrolla parcialmente esta ley.

El Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI) (Reales Decretos 3/2010 y 4/2010, de 8 de enero).

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

Protección de Datos y Seguridad de la Información