Juan Francisco Merchán
Derecho Privado | Civil | Laboral | Mercantíl - Concursal | Tributario | Mediación
El contrato de servicios en la “nube” y la protección de datos de carácter personal
- Tamaño de fuente: Mayor Menor
- Visitas: 4320
- 0 Comentarios
- Suscribirse a las actualizaciones
- Imprimir
- Marcador
1.¿Qué es la contratación en la nube y cuáles son sus riesgos?
Cada es más frecuente que los operadores de internet o proveedores específicos ofrezcan servicios de almacenamiento de documentos digitales en un espacio virtual para el usuario final del servicio. De ese almacenamiento de datos que no se ofrece a usuario la localización física de dónde se encuentran su datos y documentos; dándose la paradoja que, siendo conscientes de la importancia del contenido de los documentos, no tienen en cuenta algunos riesgos que este tipo contrato genera para sus usuarios, por lo que la demanda aumenta al ponderar otros aspectos, como su utilidad, sugerencia del servicio y economía de costes para las empresas y particulares que decidan guardar sus archivos en la nube.
En la normativa de protección de datos, que debe ser la primera en tener en consideración a la hora de saber qué nos van a pedir y qué podemos dar en el momento de plasmar los derechos y obligaciones para la partes, documentando en un contrato de servicios cloud computing o contratación en la nube, encontramos los recursos jurídicos a tener en cuenta para minimizar los riesgos concretos que ciertos datos puedan generar, riesgos que están directamente relacionados con la nula o insuficiente información de su tratamiento su falta del control.
Cabe decir que lo proveedores de servicios de almacenamiento en la nube con domicilio en nuestro país que contraten un servicio de almacenamiento en la nube, son responsables del tratamiento de los datos de carácter personal relativos a á contratación del servicio.
2. Facultad de los derechos ARCO
Los derechos ARCO son los derechos de las personas reconocidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y disposiciones de desarrollo.
En concreto se trata de:
- El derecho de acceso. . . . . . . . . A
- El derecho de rectificación. . . . . R
- El derecho de cancelación. . . . . C
- El derecho de oposición. . . . . . . O
La facultad de hacer uso de estos derechos, como la responsabilidad del tratamiento de los datos de carácter personal, no pueden alterarse contractualmente, por lo que siempre es de aplicación de a LO 15/1999 y su reglamento aprobado por el RD 1720/2007, por lo que será nulo de propio derecho cualquier alteración contraria o no prevista en la citada normativa.
En este sentido decir que hay un doble filtro a responsabilidad del tratamiento de datos:
1º) El legislador ha previsto la exigencia para las empresas que presten servicios de cloud computing, la exigencia de acreditar las garantías y cumplimiento de la normativa de protección de datos.
2º) Los interesados, es decir, los usuarios finales, pueden hacer valer sus derechos ARCO antes el prestador de servicio, al que podrán exigir responsabilidades en caso de incumplimiento.
Así tanto prestadores del servicio de almacenamiento en la nube, como sus clientes se entran bajo la normativa de LO 15/1999 y su reglamento aprobado por el RD 1720/2007.
3. Garantías de carácter contractual
Si hemos anteriormente que esta normativa es la primera que debemos saber y estudiar a la hora de pedir y dar datos personales, es la hora de hacer referencia como se plasman en el contrato las garantías recogidas en la norma:
- Objeto del tratamiento de datos personales
Deberán regularse los términos y las condiciones en los que el acceso del tratamiento de datos tiene lugar, de conformidad con el artículo 12 de la LOPD. En este contrato, se establecerá que el proveedor de cloud computing únicamente tratará los datos conforme a las instrucciones del cliente, que no los aplicará o utilizará con un fin distinto al pactado, y que no los comunicará a terceros, ni siquiera para su conservación.
- Subcontratación
Es muy frecuente y habitual que en este tipo de servicios intervengan subcontratistas en la prestación de soporte del almacenamiento en la nube, circunstancian que se deberá incorporar en el contrato, en el cual, igualmente, deberán constar las garantías jurídicas previstas en el artículo 21 del Reglamento, RD 1720/2007
- Cesión internacional de datos
También es muy corriente que la contratación de un servicio de cloud computing lleve aparejada la migración de los datos alterritorio donde se encuentran ubicados los sistemas deinformación del proveedor. Este movimiento internacionalde datos obliga a que se deban establecer garantíasespecíficas en los supuestos en que los datos se transfieran a países que no ofrezcan un nivel de protección equiparableal de la LOPD, lo que implicará la notificación en elRegistro General de Protección de Datos del fichero afectoy, en algunas ocasiones, resultará necesario , además,obtener la autorización del Director de la Agencia Española de Protección de Datos
4. Infracciones y sanciones
El artículo 43 de la LOPD establece que la responsabilidad recaerá siempre sobre los Responsables de los ficheros y los Encargados de los tratamientos, que también responderán a las infracciones en que hayan incurrido, y de las que no sin ajenas las empresas que presten el servicios de almacenamiento en la nube.
No hay que olvidar, que en el tratamiento de datos de la contratación cloud computing, pueden intervenir terceras personas que pueden ser las la comentan la infracción, pues bien a pesar de que la responsabilidad recaiga sobre la persona que cometió la infracción administrativa, el responsable directo y final va a ser la empresa responsable del registro o su responsable.
Por último citar que las infracciones pueden ser leves, graves y muy grave, cuyas sanciones vas entre las 900 y 40.000 € para las primeras; de 40.001 a 300.000 € la segundas y entre 300.001 a 600.000 € las terceras, graduándose en función de los siguientes criterios:
- Carácter continuado.
- Volumen de los tratamientos afectos.
- Vinculación de la actividad del infractor.
- Volumen de negocio o activad del infractor.
- Beneficios obtenidos
- Grado de intencionalidad.
- Reincidencia.
- Naturaleza de los perjuicios.
- Cualquier otro circunstancia que sea relevante para determinar el grado de antijuridicidad.
Si desea ampliar información , recomiendo “Guía para contratar Cloud Computing” de Jesús Pérez Serna