Si en el artículo anterior analizábamos los diferentes tipos de nube y los elementos a tener en cuenta a la hora de contratar, en este vamos a concretar qué preguntas debemos hacernos a la hora de elegir el proveedor de servicios en nube más adecuado.
A pesar de que la normativa en protección de datos es “tecnológicamente neutral” en el sentido de que el responsable de los datos tiene libertad de elección a la hora de elegir qué proveedor de servicios es el que mejor se adapta a sus necesidades, lo cierto es que se nos compele a cumplir con ciertas exigencias, como las contenidas en el artículo 28 del RGPD.
Por esta razón, es imprescindible conocer y establecer previamente a qué riesgos podemos enfrentarnos respecto a nuestros tratamientos y a su gestión por terceros, pues en la práctica, va a ser este quien implemente las medidas técnicas y organizativas necesarias para minimizar el impacto sobre los derechos y libertades de los interesados. Para ello, la autoridad de control Danesa nos lanza varias preguntas a las que vamos a internar ir dando respuesta:
¿El proveedor de servicios va a poder procesar los datos personales para sus propios fines?
Si autorizamos al proveedor de servicios a procesar datos personales para sus propios fines o este se reserva el derecho a poder procesarlos, hay que tener en cuenta:
- Que los fines con los que el proveedor va a procesar los datos no sean incompatibles con los fines para los que el responsable los recopiló originalmente.
- La base legal sobre la que realizar dicha acción y la verificación por parte del responsable de que la misma existe y es la adecuada.
En cualquier caso, y tal y como señala el artículo 33.2 LOPDgdd, no debemos olvidar que tendrán la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679.
¿El proveedor de servicios en la nube procesa datos personales adicionales a los datos personales confiados, como metadatos u otros datos de servicio?
Los metadatos son datos que describen con mayor o menor detalle, otros datos. Lo cierto es que la normativa en protección de datos no los menciona expresamente, pero la Agencia Danesa sí lo hace porque, aunque las comunicaciones electrónicas se rigen por lo dispuesto en la actual Directiva 2002/58/EC, no hay que olvidar que un dato personal es toda información que identifica o hace identificable a la persona, y que la Propuesta de Reglamento Del Parlamento Europeo Y Del Consejo relativo al respeto de la vida privada y a la protección de los datos personales en las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (ePrivacy), señala que los metadatos también pueden revelar información delicada y personal (como la localización) que permite extraer conclusiones sobre nuestra actividad diaria, por lo que sin entrar en mayores profundidades, sí podemos concluir que, de ser el caso, habrá que evaluar quién es el responsable para el procesamiento de dichos datos y con qué finalidades.
¿Cuenta el proveedor con políticas y procedimientos para garantizar la confidencialidad de los datos por parte de sus empleados?
Si los datos personales son un activo más de la entidad, las fugas de información son una de las mayores amenazas, sobre todo si tenemos en cuenta que somos el eslabón más débil de la cadena. Por ello, es importante asegurarnos de que el proveedor de servicios con el que vamos a contratar ha tomado medidas preventivas, como es la firma de los compromiso de confidencialidad o la formación a los empleados.
Por otro lado, también sería oportuno cerciorarnos de que cuentan con criterios objetivos que garanticen la clasificación de los datos en base a la sensibilidad y el impacto en los derechos y libertades de los interesados, primando siempre el principio de mínimo privilegio.
¿Ha establecido el proveedor, teniendo en cuenta la asignación de responsabilidades, un nivel adecuado de seguridad de procesamiento respecto a las actividades de tratamiento que se le han encomendado?
En estos casos, el tamaño de la empresa no es el factor que decanta la balanza, sino el volumen y variedad de datos personales y la exhaustividad y periodicidad con la que van a recopilarse.
Para ello, es preciso realizar un análisis de riesgos inicial y, del resultado de este, listar las medidas técnicas y organizativas que exigiremos al proveedor (a modo orientativo, podemos hacer uso de los controles de la familia ISO 27000 -en especial la 27701 de gestión de la privacidad de la información, la 27017 y 27018 sobre protección en la nube, la 27032 sobre gestión de la seguridad y el Esquema Nacional de Seguridad para las administraciones públicas-o las Guías de privacidad por diseño y por defecto de la AEPD). Por último, es primordial asegurarse que cuenta con protocolos y planes de resiliencia y contingencia.
¿Gestiona el proveedor todo el procesamiento de los datos por cuenta del responsable o utiliza a su vez servicios de terceros?
Cabe la posibilidad de que el encargado no sea un prestador final, sino que este a su vez subcontrate con terceros elementos necesarios para la implementación del servicio en nube (hardware, comunicaciones…) y estos hagan lo propio con otros, redimensionando la cadena de procesamiento de datos. En este sentido, hay que preguntarse si la sensibilidad del ciclo de vida del tratamiento y los datos es compatible con dicho modelo en cadena.
Si finalmente valoramos positivamente dicha posibilidad, a pesar de que no se requiere que el acuerdo entre proveedor y subencargados sea idéntico en redacción al contrato entre responsable y encargado, sí es necesario que el nivel de protección establecido acompañe a los datos allá a donde viajen.
También hay que considerar si el proveedor cuenta con procedimientos para examinar a los subencargados con el fin de garantizar que estos también pueden cumplir con los requisitos de protección de datos impuestos; el régimen de notificación y aceptación o rechazo del responsable y si se van a establecer canales a efectos de sólo comunicación entre responsable y subencargados.
¿Dónde se encuentra el proveedor de servicios? ¿Y los subencargados?
La Agencia Danesa centra la guía en las transferencias a los Estados Unidos, pues la gran mayoría de los proveedores de servicios que surten a la Unión Europea tienen su sede central allí, aunque lo cierto es que la oferta de subservicios está virando hacia otras regiones, como la India.
En cualquier caso, es imprescindible realizar un mapeo de la localización de encargados y subencargados, sobre todo en aquellos casos en los que estos se encuentran fuera del Espacio Económico Europeo, así como un estudio legislativo previo del país, prestando especial atención a las posibilidades de acceso por parte de las autoridades públicas y la verificación documentada de que toda la cadena posee el instrumento del Capítulo V RGPD más adecuado y las medidas complementarias necesarias de darse el caso.
¿Cuenta el proveedor con procedimientos para gestionar las brechas de datos personales? ¿Incluyen estos procedimientos la asistencia al responsable? ¿Cómo se van a gestionar las brechas de seguridad entre proveedor y subencargados?
Hay que recordar que la notificación de brechas de seguridad debe realizarse sin dilación y, a más tardar, en las 72 horas siguientes a tener constancia de la misma, computando también las horas trascurridas durante fines de semana y festivos (puedes leer más sobre este tema aquí y aquí). El Reglamento no concreta la notificación entre encargado y responsable, pero la AEPD alude a la necesidad de especificar los plazos en función del riesgo.
Teniendo en cuenta la actividad de procesamiento encomendada, ¿Cuenta el proveedor con procedimientos para manejar las peticiones de ejercicio de los interesados?
Tanto si las contesta directamente el proveedor, como si se las traslada al responsable, las solicitudes deben responderse en el plazo de un mes con carácter general, por lo que al igual que en el caso anterior, sería conveniente fijar pautas y plazos.
¿En qué términos va a ayudar el proveedor de servicios al responsable en sus auditorías? ¿El proveedor va a poder ser auditado por parte del responsable?
La Autoridad de Dato Danesa señala que, como responsable de los datos, debemos cerciorarnos si se está llevando a cabo correctamente el procesamiento de los datos. El problema es que, en la práctica, sobre todo respecto a los grandes proveedores de servicios, auditarlos es misión imposible, razón por la que esta acción suele suplirse a través de certificados obtenidos por terceros independientes o la adhesión a los Códigos de Conducta, si bien esto no será siempre suficiente por lo que, llegado el caso, habrá que buscar alternativas.
En definitiva, la selección del encargado de tratamiento es un punto crítico en toda organización, por lo que conviene tener trazado un plan antes de tomar cualquier decisión.