NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

La ICO del Reino Unido publica una guía de computación en la nube

El 27 de septiembre de 2012, la Oficina del Comisionado de Información del Reino Unido (“ICO”) publicó una guía sobre el cumplimiento de los requisitos de la Ley de Protección de Datos del Reino Unido de 1998 (“DPA”) en el contexto de los servicios de computación en la nube (la “Orientación”). En su Orientación, la ICO recuerda a los controladores de datos que la transferencia de datos personales a la nube no los exime de sus obligaciones de cumplimiento conforme a la DPA.

La Guía proporciona ejemplos específicos que ilustran qué parte en un escenario de servicios de computación en la nube operará como controlador de datos. En los modelos de servicio en capas, donde varios proveedores ofrecen diferentes servicios, puede haber varios controladores de datos. Sin embargo, como regla general, es el cliente de la nube quien determina los fines y la forma en que se procesan los datos personales. Por lo tanto, se considera que el cliente de la nube es el controlador de datos, con la responsabilidad general de cumplir con el DPA. En su Orientación, la ICO reconoce que, aunque los clientes de grandes proveedores de nube pueden tener que aceptar los términos contractuales estándar del proveedor y pueden tener poca influencia para negociar esos términos, el cliente es responsable, no obstante, como controlador de cumplir con el DPA. Un proveedor de nube generalmente operará como procesador de datos, pero si el proveedor de nube utiliza los datos personales para sus propios fines, también deberá cumplir con las disposiciones de la DPA.

La Guía solicita a los controladores de datos que tengan la intención de utilizar servicios en la nube que consideren si dicho uso podría resultar en el procesamiento de datos adicionales. p.ej, estadísticas de uso y metadatos del historial de transacciones, que también pueden constituir datos personales.

La Guía aconseja específicamente a los controladores de datos que tengan la intención de utilizar servicios en la nube para:

  • crear un registro claro de las categorías de datos que se trasladarán a la nube;
  • seleccionar el proveedor de nube apropiado, en particular un proveedor que garantice la confidencialidad e integridad de los datos; y
  • desconfíe de los proveedores de la nube que ofrecen términos de “lo toma o lo deja” sin posibilidad de negociación.

Con respecto a la evaluación de las salvaguardas de seguridad de un proveedor potencial, la Guía señala que el método de evaluación más efectivo es realizar una inspección en el sitio, pero reconoce que esto puede no ser factible.

La Guía también establece que el cliente y el proveedor deben tener una política clara que especifique las circunstancias en las que el proveedor puede acceder a los datos personales que procesa. Además, el proveedor de la nube debe tener restricciones contractuales para que no procese datos personales para sus propios fines.

Según la Guía, los proveedores de la nube deberían:

  • mantener informados a los clientes de la nube sobre los cambios en la cadena de subprocesadores;
  • proporcionar garantías de que los datos en tránsito están debidamente protegidos;
  • tener la capacidad de eliminar todas las copias de datos personales (incluso de los medios de almacenamiento subyacentes) dentro del plazo especificado en el programa de eliminación del cliente;
  • proporcionar una lista de países donde es probable que se procesen los datos y una descripción de las salvaguardias de seguridad vigentes en esas jurisdicciones; y
  • proporcione la ubicación de cada subprocesador y los detalles de las salvaguardas de seguridad vigentes.

Una preocupación desde hace mucho tiempo para los responsables del tratamiento de datos que utilizan proveedores de servicios ubicados en jurisdicciones extranjeras es la tensión entre las normas de protección de datos de la UE, por un lado, y las normas de divulgación civil de derecho extranjero y las solicitudes de acceso por parte de organismos policiales extranjeros, por el otro. La Guía establece que, en general, ni el cliente de la nube ni el proveedor de la nube estarían sujetos a la aplicación reglamentaria de las divulgaciones a agencias de aplicación de la ley extranjeras, porque no sería apropiado castigar a un cliente cuyo proveedor estuviera legalmente obligado a realizar la divulgación. Aunque las organizaciones del Reino Unido pueden sentirse tranquilas con el hecho de que la Guía indica que la acción reguladora sería poco probable en estas situaciones, los proveedores de nube tendrán dificultades para señalar una base legal real bajo la ley del Reino Unido para hacer tal divulgación. Además, tales divulgaciones pueden constituir un incumplimiento de contrato.

La Guía complementa la Guía más general de protección de datos de la ICO y su Código de prácticas en línea de información personal.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar