¿Puedo proteger mis datos en la nube?
The cloud es el nuevo y revolucionario sistema según el cual lo que solíamos almacenar en nuestro ordenador pasa a estar en un conjunto de servidores a los que podemos acceder a través de Internet. Los beneficios y la rapidez que este innovador sistema ha creado son innumerables pero, ¿es la nube segura? ¿Mis datos están protegidos? ¿Qué legislación se aplica en la nube?
No existe una legislación sobre privacidad universalmente vinculante que abarque a todos los países del mundo. La Directiva sobre la intimidad en las comunicaciones electrónicas de la Unión Europea se dirige a los proveedores de redes de telecomunicaciones públicas y establece que sólo el personal autorizado podrá acceder a los datos personales y únicamente para fines legales autorizados. También estipula que los datos personales almacenados o transferidos deben ser protegidos contra la destrucción accidental o ilícita, la pérdida accidental o cualquier forma de alteración, así como contra el almacenamiento, el tratamiento, la divulgación o el acceso no autorizado o ilícito. Los datos personales se definen en términos generales como “toda información relativa a una persona física identificada o identificable”.
El usuario de la nube, sin embargo, tiene un papel muy importante a nivel individual. ¿Qué debemos tener en cuenta? En primer lugar hemos de informarnos, en todo lo posible, sobre los tipos de nube (pública, privada e híbrida) y hacer un proceso de discriminación en nuestros datos; plantearnos cuáles son más y menos sensibles e identificativos y, en virtud de ello, evaluar para qué tipo de datos contrataremos los servicios de cloud computing y cuáles preferiremos seguir almacenando en nuestro ordenador, pues es imprescindible no olvidar que el cliente sigue siendo el responsable del tratamiento de los datos, la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad. Es por ello que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo) y la aplicación de la legislación española no puede modificarse contractualmente.
También es imprescindible saber si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios de cloud computing, lo que es bastante habitual. En este caso hemos de dar nuestra conformidad, al menos delimitando genéricamente los servicios en los que participarán, tenemos derecho a saber quiénes son exactamente esas empresas y el proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
¿Cómo podemos estar seguros de que las medidas de seguridad se están cumpliendo? Es importante resaltar que como clientes tenemos derecho a comprobar que así es, pudiendo incluso acceder a los registros que permiten conocer quién ha accedido a los datos de los que se es responsable, inclusive puede acordarse que un tercero independiente audite la seguridad. Por último, y con respecto a la recuperación de los datos o portabilidad, el proveedor ha de obligarse, cuando el contrato haya de resolverse, a entregar toda la información al cliente en el formato que se acuerde, deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso y por supuesto, al finalizar el contrato.
Al desierto no pueden ponérsele puertas, probablemente a Internet tampoco, pero sí hemos de estar preparados para protegernos contra las tormentas de arena.
