Qué tiene que conocer al contratar servicios en la nube o el cloud

Qué tiene que conocer al contratar servicios en la nube o cloud

Las empresas confían cada vez más en los servicios en la nube o cloud computing para sus aplicaciones empresariales. Las ventajas técnicas y económicas del modelo de prestación de servicios en la nube les permiten reducir sus costes de tecnologías de la información entre un 30% y un 90%, en función del tamaño y del número de empleados.

Según un estudio de la consultora TIC Makesoft Technologies, “la nube permite ahorrar alrededor de un 85-90% a una compañía de unos 5 a 15 empleados, que es la media que forma el 85% de la población PYME en España. En empresas de mayor volumen se estaría más cerca del 30%”. Esta diferencia se debe a que en una gran compañía, dada su estructura y actividad, no hay necesidad de externalizar a un CPD o a la nube toda su gestión informática. No hay que pensar únicamente en el precio de los activos que componen la infraestructura TIC (hardware), algo ya de por sí bastante caro, sino también en otros costes como el espacio físico donde alojar el equipamiento, el mantenimiento, las certificaciones de seguridad y calidad, o el conocimiento de los sistemas

Sin embargo, como bien subraya un estudio del Consejo General de la Abogacía Española y la Agencia Española de Protección de Datos (AEPD), “surgen dudas relativas a la seguridad e integridad de la información, especialmente la que pueda tener una naturaleza más sensible por su carácter confidencial, así como ciertas lógicas reservas a perder el control físico de los datos de carácter personal que sean objeto de tratamiento en la empresa, que dejan de estar en los servidores propiedad de la misma o en discos o dispositivos que se guardan en un lugar que cuente con las medidas exigidas por la normativa de protección de datos“.

 

Aspectos clave que tiene que conocer al contratar servicios en la nube o cloud

Por tanto, se hace necesario conocer aquellos aspectos clave que, en el marco de la legislación de protección de datos de carácter personal, las empresas tengan en consideración al contratar servicios en la nube o cloud.

La empresa que contrata los servicios en la nube o cloud es la responsable del tratamiento de los datos de carácter personal y quien decide sobre la finalidad, contenido y uso del tratamiento; mientras que el proveedor de servicios por su parte tendrá la naturaleza de encargado del tratamiento. Será necesario suscribir un contrato de forma que el proveedor de servicios asuma los compromisos estipulados en el artículo 12 de la ley de protección de datos, especialmente en lo referente a la implantación de las medidas de seguridad exigidas por la legislación europea y la ley de protección de datos de carácter personal española (LOPD). En el caso de que intervengan terceras empresas tiene que dar su conformidad y que le ofrezcan las mismas garantías jurídicas.

Los términos y condiciones del contrato deben incluir que el proveedor únicamente tratará los datos conforme a las instrucciones de la empresa, y que no los aplicará o utilizará con fin distinto al que figure en el contrato, ni los comunicará, ni siquiera para su conservación, a otras personas o empresas.

La localización de los datos debe ser auditable y transparente, preferiblemente dentro del Espacio Económico Europeo, en cualquier otro país que proporcione garantías jurídicas adecuadas por Decisión de la Comisión Europea, o proveedores  ubicados en los EEUU que hayan suscrito los principios del acuerdo de Puerto Seguro (Safe Harbor). En los dos últimos casos será suficiente hacer constar la transferencia internacional de datos en la notificación del fichero realizada para su inscripción en el Registro General de Protección de Datos.

Respecto a las medidas técnicas y organizativas se deben incluir las necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información, de acuerdo a la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de Internet debe contemplar un nivel de seguridad equivalente al de los accesos en local. Debe valorar positivamente que el proveedor acredite certificaciones de seguridad adecuadas, que se acuerde por contrato cómo auditar las medidas de seguridad, que se informe diligentemente sobre las incidencias de seguridad así como las medidas adoptadas para resolverlas, o que se cifren los datos.

Por último se debe garantizar en el contrato que la empresa disponga de un acceso o control directo a los datos, que se permita a los clientes que en cualquier momento puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), y que en caso de finalización de contrato se puedan recuperar los datos personales (portabilidad) y que el proveedor prevea los mecanismos necesarios para un borrado seguro, incluyendo una certificación de la destrucción de los mismos.

Puede ampliar esta información en la guía para clientes que contraten servicios de cloud computing elaborada por la Agencia Española de Protección de Datos.

 

¿Qué otros aspectos clave subrayarías?

 

© Imagen superior publicada por FutUndBeidl en Flickr bajo licencia Creative Commons Attribution 2.0 Generic

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?

Los comentarios de este blog están moderados y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor del post o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *
Gracias por tu participación.
Feel free to contribute!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *