logotipo-merchan-abogado

Juan Francisco Merchán

Derecho Privado | Civil | Laboral | Mercantíl - Concursal | Tributario | Mediación

  • Inicio
    Inicio Aquí es donde puedes encontrar todas las publicaciones del blog.
  • Categorías
    Categorías Muestra una lista de categorías de este blog.

El contrato de servicios en la “nube” y la protección de datos de carácter personal

Publicado por en en General
  • Tamaño de fuente: Mayor Menor
  • Visitas: 2584
  • 0 Comentarios
  • Suscribirse a las actualizaciones
  • Imprimir

 

b2ap3_thumbnail_Cloud_computing-es_svg.png

 

 

 

1.¿Qué es la contratación en la nube y cuáles son sus riesgos?

Cada es más frecuente que los operadores de internet o proveedores específicos ofrezcan servicios de almacenamiento de documentos digitales en un espacio virtual para el usuario final del servicio. De ese almacenamiento de datos que no se ofrece a usuario la localización física de dónde se encuentran su datos y documentos; dándose la paradoja que, siendo conscientes de la importancia del contenido de los documentos, no tienen en cuenta algunos riesgos que este tipo contrato genera para sus usuarios, por lo que la demanda aumenta al ponderar otros aspectos, como su utilidad, sugerencia del servicio y economía de costes para las empresas y particulares que decidan guardar sus archivos en la nube.

 

En la normativa de protección de datos, que debe ser la primera en tener en consideración a la hora de saber qué nos van a pedir y qué podemos dar en el momento de plasmar los derechos y obligaciones para la partes, documentando en un contrato de servicios cloud computing o contratación en la nube, encontramos los recursos jurídicos a tener en cuenta para minimizar los riesgos concretos que ciertos datos puedan generar, riesgos que están directamente relacionados con la nula o insuficiente información de su tratamiento su falta del control.

 

Cabe decir que lo proveedores de servicios de almacenamiento en la nube con domicilio en nuestro país que contraten un servicio de almacenamiento en la nube, son responsables del tratamiento de los datos de carácter personal relativos a á contratación del servicio.

 

 

2. Facultad de los derechos ARCO

Subir

Los derechos ARCO son los derechos de las personas reconocidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y disposiciones de desarrollo.

En concreto se trata de:

  • El derecho      de acceso. . . . . . . . . A
  • El derecho      de rectificación. . . . .  R
  • El derecho      de cancelación. . . . .  C
  • El derecho      de oposición. . . . . . . O

La facultad de hacer uso de estos derechos, como la responsabilidad del tratamiento de los datos de carácter personal, no pueden alterarse contractualmente, por lo que siempre es de aplicación de a LO 15/1999 y su reglamento aprobado por el RD 1720/2007, por lo que será nulo de propio derecho cualquier alteración contraria o no prevista en la citada normativa.

En este sentido decir que hay un doble filtro a responsabilidad del tratamiento de datos:

1º) El legislador ha previsto la exigencia para las empresas que presten servicios de cloud computing, la exigencia de acreditar las garantías y cumplimiento de la normativa de protección de datos.

2º) Los interesados, es decir, los usuarios finales, pueden hacer valer sus derechos ARCO antes el prestador de servicio, al que podrán exigir responsabilidades en caso de incumplimiento.

 

Así tanto prestadores del servicio de almacenamiento en la nube, como sus clientes se entran bajo la normativa de LO 15/1999 y su reglamento aprobado por el RD 1720/2007.

 

b2ap3_thumbnail_coult-computing-2-.jpg

 

3. Garantías de carácter contractual

Si hemos anteriormente que esta normativa es la primera que debemos saber y estudiar a la hora de pedir y dar datos personales, es la hora de hacer referencia como se plasman en el contrato las garantías recogidas en la norma:

 

  • Objeto del tratamiento de datos personales

Deberán regularse los términos y las condiciones en los que el acceso del tratamiento de datos tiene lugar, de conformidad con el artículo 12 de la LOPD. En este contrato, se establecerá que el proveedor de cloud computing únicamente tratará los datos conforme a las instrucciones del cliente, que no los aplicará o utilizará con un fin distinto al pactado, y que no los comunicará a terceros, ni siquiera para su conservación.

 

 

  • Subcontratación

Es muy frecuente y habitual que en este tipo de servicios intervengan subcontratistas en la prestación de soporte del almacenamiento en la nube, circunstancian que se deberá incorporar en el contrato, en el cual, igualmente, deberán constar las garantías jurídicas previstas en el artículo 21 del Reglamento, RD 1720/2007

 

 

  • Cesión internacional de datos

También es muy corriente que la contratación de un servicio de cloud computing lleve aparejada la migración de los datos alterritorio donde se encuentran ubicados los sistemas deinformación del proveedor. Este movimiento internacionalde datos obliga a que se deban establecer garantíasespecíficas en los supuestos en que los datos se transfieran a países que no ofrezcan un nivel de protección equiparableal de la LOPD, lo que implicará la notificación en elRegistro General de Protección de Datos del fichero afectoy, en algunas ocasiones, resultará necesario , además,obtener la autorización del Director de la Agencia Española de Protección de Datos

 

 

4. Infracciones y sanciones

El artículo 43 de la LOPD establece que la responsabilidad recaerá siempre sobre los Responsables de los ficheros y los Encargados de los tratamientos, que también responderán a las infracciones en que hayan incurrido, y de las que no sin ajenas las empresas que presten el servicios de almacenamiento en la nube.

 

No hay que olvidar, que en el tratamiento de datos de la contratación cloud computing, pueden intervenir terceras personas que pueden ser las la comentan la infracción, pues bien a pesar de que la responsabilidad recaiga sobre la persona que cometió la infracción administrativa, el responsable directo y final va a ser la empresa responsable del registro o su responsable.

 

Por último citar que las infracciones pueden ser leves, graves y muy grave, cuyas sanciones vas entre las 900 y 40.000 € para las primeras; de 40.001 a 300.000 € la segundas y entre 300.001 a 600.000 € las terceras, graduándose en función de los siguientes criterios:

-      Carácter continuado.

-      Volumen de los tratamientos afectos.

-      Vinculación de la actividad del infractor.

-      Volumen de negocio o activad del infractor.

-      Beneficios obtenidos

-      Grado de intencionalidad.

-      Reincidencia.

-      Naturaleza de los perjuicios.

-      Cualquier otro circunstancia que sea relevante para determinar el grado de antijuridicidad.

 

Si desea ampliar información , recomiendo “Guía para contratar Cloud Computing” de Jesús Pérez Serna

 

 

 

b2ap3_thumbnail_Cloud_computing-es_svg.png

 

Calificar el artículo:

Comentarios

  • No hay comentarios por el momento. Se el primero en enviar un comentario.

Deja tu comentario

Invitado Domingo, 08 Diciembre 2019