Desde hace unos años por motivos de comodidad y de reducciones de costes es habitual que las distintas empresas estemos migrando nuestro entorno a aplicaciones en la nube o lo que se denomina Software as a Service (SaaS), esto conlleva entender que ahora no estamos adquiriendo una licencia de una aplicación sino que estamos alquilando la prestación de un servicio que no solo conlleva el software sino además, su alojamiento, mantenimiento, actualización…
Desde el punto de vista de la privacidad y la protección de datos este nuevo paradigma conlleva entender que los datos que carguemos en esa aplicación ya no van a estar bajo nuestro control, sino que van a ser protegidos por un tercero, así se le dará acceso tanto a los datos de nuestros usuarios internos -el personal de nuestra empresa que utiliza la aplicación- como de nuestros clientes que incluimos en nuestro Software, así como toda la información delicada que cargamos en la plataforma.
Debido a lo anterior es necesario aplicar a todo el uso de la plataforma los principios que se recogen en la normativa sobre Protección de Datos, tanto desde nuestro proveedor a nosotros como clientes, como de nosotros a nuestros clientes o usuarios, así es recomendable buscar aplicaciones en que el rija el principio de Privacy by design, además de que el DPO o Data Privacy Officer, realice una auditoría interna de la aplicación para valorar sus medidas de seguridad y que tipo de datos es recomendable subir a la plataforma.
Una vez realizado lo anterior será necesario tener un contrato por escrito con el proveedor que recoja lo estipulado en dicha normativa para los encargados de tratamiento, así el proveedor debería atender a las medidas de seguridad exigidas por el cliente, y este revisar que terceros hay involucrados en la prestación del servicio atendiendo a las cadenas de subcontrataciones y transferencia internacionales.
Tenemos que tener en cuenta que muchas de estas aplicaciones se contratan mediante un contrato de adhesión o unas condiciones generales de contratación, por lo que introducir modificaciones en las mismas será prácticamente imposible, por tanto es importante tener en cuenta los siguientes aspectos:
- •Definir el ámbito y alcance del contrato en función de los datos que vayamos a incorporar a la plataforma, siempre será aplicable a dichos tratamientos la ley del domicilio del responsable del fichero, por tanto se le tendrán que aplicar las medidas de seguridad correspondientes a la legislación de éste en función del nivel de los datos.
– Que un proveedor no quiera aplicar o desconozca que datos hay dentro de su aplicación no implica que no tenga que aplicar las medidas relativas a ese tipo de datos.
– Esto en ciertos casos nos puede hacer que tener introducir medidas de seguridad adicionales a las que presta el proveedor de servicios.
- •Revisar los aspectos que afectan a las subcontrataciones y a las cadenas de transferencias internacionales, algunos proveedores lo cumplen facilitando un listado de subcontratistas.
- •Tener en cuenta que a la finalización del contrato o en caso de resolución anticipada se tendrán que devolver los datos que contiene la plataforma de forma que sea interoperable con otros sistemas (lo que se denomina portabilidad de los datos) y que el proveedor, al pasar un tiempo prudencial, deberá proceder a su destrucción y que nos certifique que lo ha realizado.