Resumen del Dictamen del Supervisor Europeo de PDatos sobre cloud computing.

Este nuevo Dictamen del Supervisor (EDPS) da respuesta a la Comunicación de la Comisión sobre el documento elaborado por la Comisión sobre el desarrollo potencial del Cloud Computing en Europa (documento de 27 de septiembre de 2012).

No obstante, el Supervisor especifica que su Dictamen va un poco más allá del citado documento, intentando aunar los servicios de cloud con la normativa de protección de datos personales, incluyendo, además, comentarios respecto al contenido actual del futuro Reglamento de Protección de Datos Personales (si se aprueba, claro).

El Dictamen se articula en base a tres puntos que son claves para el Supervisor:

–      Cumplimiento de la protección de datos en el cloud, de manera que el grado de cumplimiento no puede ser menor que en el resto de ámbitos en los que se produzca un tratamiento de datos personales. En este punto, se toma como referencia el Dictamen del Grupo del Artículo 29 sobre el cloud. En este blog, ya comentamos dicho Dictamen.

–      Análisis del cloud a la luz del texto del futuro Reglamento de Protección de Datos, especialmente a la hora de determinar responsabilidades de los diferentes actores que intervienen. También cómo afecta a la definición de responsable y encargado.

–      Identificación de una serie de aspectos en los que se requiere una actuación conjunta a nivel europeo: guías, estándares de cumplimiento, estándares de contratos, ámbitos de riesgos.

De esta forma, el Dictamen describe el marco jurídico vigente y por ende, aplicable; la importancia de que exista un gran grado de cumplimiento de la normativa de protección de datos en estos servicios; sobre la propuesta de Reglamento analiza el citado texto en relación a “el proveedor de cloud como encargado”, “el proveedor de cloud como responsable”, “el principio de accountability en el cloud” incluyendo la auditoria y la certificación, “transferencias internacionales” mencionando las BCR’s, “ley aplicable” y la coordinación entre autoridades de protección de datos a la hora de controlar e investigar el cumplimiento de la normativa.

“Cloud computing” y Reglamento de Protección de Datos: puntos positivos.

Para el Supervisor, la propuesta de Reglamento, clarifica la aplicación de la normativa a los servicios de cloud. Además, la inclusión de determinadas “herramientas” permitirá un alto grado de cumplimiento.

En este sentido, podemos citar:

–      Artículo 3 de la propuesta: sobre la aplicación de la normativa de protección de datos de la Unión Europea a este tipo de servicios;

–      Artículo 4(5) de la propuesta: que introduce respecto al responsable un nuevo elemento denominado “condiciones”, que ayudaría en aquellos supuestos en los que el proveedor de cloud es considerado responsable.

–      Artículo 23 de la propuesta: privacidad por diseño y privacidad por defecto.

–      Artículo 32 de la propuesta: notificación de las brechas/vulneraciones de seguridad.

–      Artículo 33 de la propuesta: informes de impacto de privacidad (PIAs).

–      Artículos 42-43 de la propuesta: el nuevo régimen de transferencias internacionales, que es más flexible.

“Cloud computing” y Reglamento de Protección de Datos: puntos a mejorar.

El Supervisor propone una serie de modificaciones en el texto actual de la propuesta de Reglamento en relación con el cloud:

–      Sobre el ámbito territorial, incluir en el artículo 3 (2) “la oferta de bienes y servicios que supongan el tratamiento de datos personales de ciudadanos de la Unión”; o bien, incluir un considerando cuyo texto sea similar en el que se cite “responsables que no sean de la Unión Europea que ofrezcan bienes y servicios”.

–      Mejorar la definición de “transferencia”, tal como ya puso de manifiesto el Supervisor en su opinión sobre toda la reforma comunitaria.

–      Añadir un apartado en el que se establezca las condiciones por las que se pueda acceder a los datos que estén en el cloud por parte de las Autoridades de países que no son de la Unión Europea. Podría incluir la posibilidad de pedir información, en determinados supuestos, a la Autoridad competente de la Unión Europea.

Sobre los modelos de contratos, el Supervisor incide en lo siguiente:

–      Eliminar las cláusulas abusivas en virtud de las cuáles los proveedores de cloud computing no tienen ninguna responsabilidad sobre la privacidad y seguridad de los datos.

–      Incluir menciones sobre la ley aplicable y solución de controversias, de manera que los afectados (titular de los datos) pudiesen acudir a una autoridad de protección de datos europea (o tribunal) en caso de incumplimiento de la normativa europea.

–      En el supuesto de cambio de las condiciones del contrato, los clientes del cloud deben ser informados, así como prestar su consentimiento.

–      También se debe reflejar lo relativo a la retención de datos, con el límite de plazo para dicha retención y su borrado posterior transcurrido ese plazo.

Asimismo, el Supervisor apoyará a la Comisión y junto con el resto de Autoridades de Protección de Datos, en el desarrollo y elaboración de clausulas contractuales para estos servicios, en las que se incluyan las condiciones necesarias para el cumplimiento de la normativa de protección de datos.

 Coordinación: Comisión Europea y “European Data Protection Board” (WP29):

Por último, el Supervisor refleja en este Dictamen que debe existir una coordinación entre los organismos citados con el objetivo de:

–      Clarificar los mecanismos que permitan asegurar el cumplimiento de la normativa de protección de datos en los servicios de cloud;

–      Apoyar a los encargados en el uso de las BCR’s;

–      Promover el uso de “mejores prácticas” dirigidas tanto a responsables como encargados, así como en lo referente a retención de datos, portabilidad y ejercicio de derechos de los titulares de los datos.

Acceso al Dictamen (en inglés).

Anuncios

1 Response to “Resumen del Dictamen del Supervisor Europeo de PDatos sobre cloud computing.”


  1. 1 Ramon Miralles noviembre 21, 2012 en 9:11 am

    Gracias Javier, como siempre una excelente aportación


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Twitteando

¿De qué hablamos?


A %d blogueros les gusta esto: