Apecdata alerta de los riesgos que se corren en la elección de un proveedor ‘cloud’
La asociación de Proveedores Españoles de Cloud y Datacenter recomienda apostar por compañías basadas en la UE y advierte de la importancia de que importador y exportador de datos estén adheridos a mecanismos de certificación oficiales
La Asociación de Proveedores Españoles de Cloud y Datacenter (Apecdata) alerta de las implicaciones legales, técnicas y de seguridad que tiene la elección de un proveedor de cloud. Lo hace en un momento en que la computación en la nube está en pleno auge y gigantes como Amazon, Google, IBM o Microsoft abren o ultiman sus regiones cloud en España. La organización se apoya en un informe de Ecija Abogados, el cual refrenda la importancia de trabajar en un perímetro de datos confiable a la hora de llevar las aplicaciones empresariales, o datos, a la nube.
El trabajo advierte que, tal y como establece el Reglamento General de Protección de Datos (RGPD), cualquier transferencia de datos personales fuera del Espacio Económico Europeo a un tercer país deberá llevarse a cabo con garantías. Y destaca que cualquier tratamiento llevado a cabo por un proveedor ubicado en Europa que tenga determinados vínculos con una entidad estadounidense, implicará un riesgo desde la perspectiva de cumplimiento con la protección de datos.
Desde un punto de vista legal, dicen, se podría dar la situación de que datos personales de europeos alojados en servidores de entidades de EE UU con sede en Europa fueran tratados por autoridades estadounidenses de acuerdo con su normativa e implicar una transferencia internacional no conforme con la normativa europea.
Apecdata, que se presentó en público el pasado febrero, recuerda que solo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den las circunstancias previstas como excepciones.
El informe señala que la realización de transferencias internacionales de datos personales que no adopten las garantías necesarias podría dar lugar a multas administrativas de hasta 20 millones de euros o de hasta un 4% del volumen de negocio total anual global. Por ello, la asociación recomienda que para la contratación de servicios se tengan en cuenta “de forma prioritaria cuestiones como la ubicación del proveedor y dónde se tratarán de forma efectiva los datos, las medidas de seguridad aplicadas y las garantías contractuales que pudiera ofrecer el proveedor de cloud.
“Las consecuencias para los usuarios de la utilización de este tipo de plataformas puede suponer una pérdida de control sobre sus datos personales, mientras para las entidades es asumir riesgos innecesarios ya que los usos de dichos sistemas podrían suponer incumplimientos de la normativa de protección de datos personales”, apuntan.
Según se desprende del informe, la transferencia internacional de datos podrá tener lugar siempre y cuando ofrezcan “garantías adecuadas”, como la disposición de instrumentos jurídicamente vinculantes y exigibles entre autoridades, normas corporativas vinculantes y cláusulas tipo en materia de protección de datos personales que sean adoptadas por la Comisión. Asimismo, deberá ser exigible que tanto el importador como el exportador de los datos se encuentren adheridos a algún código de conducta aprobado por parte de alguna autoridad nacional de protección de datos, junto con compromisos vinculantes y exigibles de importador y exportador, incluidos los de los derechos de los interesados.
Apecdata subraya la importancia de que tanto el importador como el exportador de datos se encuentren adheridos a mecanismos de certificación oficiales, ya sea por vía contractual o mediante instrumento jurídicamente vinculante para aplicar las garantías.
La entidad es firme defensora de la creación de un espacio europeo de datos frente al avance de los gigantes tecnológicos americanos y de la puesta en marcha de un marco regulatorio que proteja los derechos personales y la privacidad por encima de los intereses económicos a la hora de confiar los datos a un tercero.