La contratación de servicios de cloud computing debe realizarse a través de un contrato de prestación de servicios. Resulta imprescindible que las cláusulas de ese contrato incorporen las garantías a las que obliga el RGPD (art. 28). [1]
A estos efectos hay que destacar, en primer lugar, que el cliente que contrata a un prestador de servicios de cloud computing tiene una obligación legal de diligencia para, según el artículo 28.1 del RGPD, elegir “únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
Deber de diligencia.
Este deber de diligencia se traducirá, dadas las características propias de estos servicios, en un abanico de requerimientos de información al proveedor de servicios dirigidos a conocer las garantías que ofrece para la protección de los datos personales de los que sigue siendo responsable. Dicha información le resultará imprescindible para decidir sobre la modalidad de nube y el tipo de servicios que contrata y, específicamente, para discriminar cuál o cuáles le ofrecen garantías adecuadas y elegir entre ellos.
El cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del prestador de servicios de cloud computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente, como se establece en el art. 28.3 letra h): “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”, así como en el párrafo final del mismo artículo: «el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros”.
Las opciones sobre la diligencia en la elección del encargado del tratamiento deben documentarse para poder acreditarla.
¿Contrato negociado o de adhesión?
Atendiendo a la relación contractual establecida entre el cliente y el proveedor de la nube, también este contrato se puede clasificar como negociado o de adhesión.
- Podemos decir que un contrato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de estos y cualquier otro aspecto de adecuación a la normativa de protección de datos y a las restricciones que esta regulación implica.
- En la mayoría de los casos, sin embargo, lo que se oferta son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la normativa de protección de datos.
Riesgos del ‘cloud computing’ .
El uso de servicios de computación en nube ofrece un gran número de ventajas, pero presenta también, por sus características, unos riesgos específicos que deben afrontarse con una adecuada elección del prestador.
Para ello debe analizarse que las condiciones de prestación tengan en cuenta los elementos que permitan que el tratamiento de datos se realice sin merma de las garantías que le son aplicables.
Podemos agrupar los riesgos en dos grandes categorías:
- falta de transparencia sobre las condiciones en las que se presta el servicio; y
- falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.
Falta de transparencia.
Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio.
Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados [de tratamiento], los controles de acceso a la información o las medidas de seguridad.
De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados, de ahí que el cumplimiento de la obligación de diligencia en la elección del prestador del servicio, que antes se señaló, implique, en primer lugar, obtener información.
Falta de control.
Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.
[1] Para obtener más información sobre estas obligaciones puede acudirse a la publicación de la AEPD, Directrices para la elaboración de contratos entre responsables y encargados de tratamiento.