Recién salido del horno, el citado Dictamen (en inglés), en sus conclusiones dice más o menos lo siguiente:
– La relación cliente-proveedor del cloud se convierte, desde la óptica de protección de datos en relación responsable-encargado. No obstante, pueden existir situaciones en que el proveedor del cloud actúe como responsable, por ejemplo si trata los datos para sus propias finalidades. Si es considerado responsable deberá cumplir las Directivas 95/46 y 2002/58, en el supuesto de que sean aplicables.
– El cliente, como he dicho en el párrafo anterior, es considerado responsable, por lo que debe cumplir con las obligaciones de las Directivas anteriormente citadas. Es importante que el cliente elija un proveedor de cloud que a su vez pueda garantizar el cumplimiento de la normativa de protección de datos de la Unión Europea.
– Salvaguardas estipuladas en caso de subcontratación: si hay subcontratista del proveedor deberá especificarse el nombre de cada uno de ellos. El proveedor de cloud tendrá que firmar un contrato con cada uno de ellos en el que se refleje a su vez todas las obligaciones que el cliente a impuesto al proveedor de cloud.
– Cumplimiento con los principios de protección de datos. A saber:
a.- Transparencia: el proveedor deberá informar al cliente sobre todo los aspectos relevantes que conciernen a la protección de datos durante la negociación del contrato; especialmente, la existencia de posibles subcontratistas así como el lugar donde los datos personales serán almacenados y tratados, sobre todo si dichos lugares son fuera del Espacio Económico Europeo; también las medidas técnicas y organizativas a implantar. Como buena práctica se insta a que el cliente informe a los titulares de los datos sobre quién va a ser el proveedor del “cloud”, los subcontratistas (si los hubiera) así como el lugar donde se van a almacenar y tratar los datos.
b.- Finalidad: el cliente tiene que asegurarse que el proveedor tratará los datos para la finalidad especificada.
c.- Conservación de datos: el cliente es responsable de que los datos sean cancelados por el proveedor y subcontratistas cuando hayan dejado de ser necesarios para su finalidad; para ello vía contrato se podrán especificar mecanismos al respecto: destrucción, sobre-escritura
-Salvaguardas contractuales:
a.- En general: en el contrato se deberá reflejar las medidas de seguridad, duración y objeto del servicio de cloud, instrucciones del cliente sobre el proveedor, así como posibles sanciones (económicas y de otro tipo).
b.- Acceso a los datos: sólo las personas autorizadas debiendo incluir una cláusula de confidencialidad.
c.- Cesiones de datos personales: en el contrato se debería especificar que el proveedor notifique al cliente cualquier cesión de datos que se realice en cumplimiento de una ley; el cliente debe asegurarse que el proveedor no cederá los datos personales en casos que dicha cesión no sea legal.
d.- Cooperación entre ambos: ejercicio de derechos ARCO y comunicación de brechas de seguridad.
e.- Transferencias internacionales: el cliente debe asegurarse que el proveedor puede cumplir con las obligaciones en materia de transferencias internacionales. En caso de que las transferencias sean a un país con nivel de no adecuación, se hará dicha transferencia “vía Safe Harbor”, clausulas standars contractuales (SCC- Decisión de la Comisión 2010/87) o BCR’s; las SCC requerirán su adaptación al entorno cloud, y cuando sea necesario autorización de la DPA correspondiente.
-Certificaciones por un tercero del servicio de cloud:
Una autoridad independiente de certificación podrá auditar que el proveedor de cloud cumple con lo dispuesto en este Dictamen. El informe de auditoría/certificación podrá estar a disposición de los futuros clientes.
El Dictamen incide en que este tipo de certificaciones es fundamental para que exista una confianza cliente-proveedor de cloud-propietarios de los datos.
*Este tema de las certificaciones (sello de calidad) ya lo planteó @VMoncholi en el I Desayuno de APEP sobre cloud-computing
Universo LOPD: tu blog de protección de datos 
Hola Javier… Ahora que has dejado de hablar de fútbol, te haré un brevísimo comentario a tu entrada 😉 (Y conste que a mi también me gustaría que Guardiola sea seleccionador 😉
Sigo pensando que todo esto es fantástico… sobre todo en la mesa de reuniones en torno a la que el GdTA29 desarrolla su trabajo…
Pero en la vida real, hay una cosa que se llaman relaciones cliente-proveedor, y cuando el proveedor es mucho más grande que el cliente, el cliente, no siempre puede imponer sus razones (y menos, sus condiciones)… Y entonces, esos contratos se convierten en documentos de adhesión con cláusulas que o tomas o dejas… pero el mercado te hace tomarlas porque a la ventaja competitiva una empresa ni puede ni debe renunciar…
Hace unos meses, en una jornada que organizó el DPI en el Consejo Superior de Colegios de Médicos, Antonio Ramos, de ISACA Madrid, hizo una comparativa con la regulación del mercado eléctrico o del gas que me pareció interesantísima… ¿A alguien se le ocurre negociar las condiciones que IBERDROLA o ENDESA imponen a sus clientes? Solo a la Comisión Nacional de la Energía o al órgano regulador correspondiente… ¿Porque no hacer algo similar con los servicios de Cloud? ¿Porqué no es ese GdTA29 el que dice a los Estados miembros como «regular» las condiciones que los proveedores imponen a sus clientes y se limitan a «amenazar» al cliente que si su proveedor no cumple lo pagará él…? ¿Cómo pretenden que una empresa de las que representa el 95% de la masa empresarial en España, es decir, de las de menos de 10 empleados, negocie condiciones con un gigante de las TIs o le imponga el acceso a sus informes de auditorías?
Reflexiones personales…. Muy buenas tardes.
@LuisSalvadorMon
El otro día en un evento de Isaca Valencia, Hector Guzman de Ecija estuvo comentando que en ciertas ocasiones, los proveedores de Cloud están siendo flexibles pero coincido con Luis Salvador en que solo se rebajan a negociar con empresas grandes.
Además, a mi me gusta la filosofía que comenta Antonio Ramos y que justifica que haya montado su propia empresa para «evaluar» desde fuera los servicios de Cloud y puntuar su nivel de calidad. Algo parecido a los niveles de calificación de deuda que si se popularizan, llevaría a los proveedores a una competitividad sana por lograr mejores ratios.
Lo explica muy bien en esta charla de la Rootedcon http://vimeo.com/23057053
Yo en este campo además no soy partidario de las certificaciones de sistemas de gestión (ISO 27.001 o ISO 20.000) porque gestionar no implica obtener buenos resultados.
A mi como cliente por ejemplo del suministro eléctrico me da igual que el marco de trabajo sea la excelencia y que la empresa tenga la ISO 9.000 o 14.000 si de vez en cuando se va la luz y se me descongela el frigo.
Además, creo que los proveedores de Cloud deben también imitar la transparencia en la facturación y entregar recibos periódicos donde rindan cuentas de qué servicio dan y con que calidad en cada tramo de pago.
NOOOOOOO, por lo más sagrado, Guardiola de seleccionador NOOOOOOOO. A ver si se va lejos y descansamos una temporada 🙂 🙂 🙂 Si la alternativa es él, Vicente forever 😉
Bueno, ahora a lo que toca de las nubes.
Así, a bote pronto, y aún a riesgo de parecer descortés, mi resumen de tu resumen sería que para este viaje no hacían falta alforjas. Todo lo que apuntas no es ni más ni menos que decir que el cliente-responsable tiene que conseguir que el proveedor-encargado cumpla la ley y si no se le cae el pelo al responsable.
Quizás el GT29 no puede decir otra cosa porque son quienes aplican la ley pero, en ese caso, a lo mejor no es necesario un documento.
¡Ah! Y por si acaso no queda claro, esto es una opinión total, absoluta y estrictamente personal y que no representa a nadie más que a mís mismo (y eso con dificultad 😉 )