Opinión del Supervisor Europeo de Protección de Datos sobre Cloud Computing

El 27 de septiembre, la Comisión Europea publicó el Informe "Liberar el potencial  de la computación en la nube en Europa" [sic] (Unleashing the Potential of Cloud Computing in Europe) donde se expone la estrategia de la Comisión para acelerar e incrementar el uso del cloud computing en Europa.

Como respuesta a este informe el Supervisor Europeo de Protección de Datos (EDPS), por iniciativa propia, acaba de publicar una Opinión sobre la relación entre el cloud computing y la protección de datos personales, aunque no se limita exclusivamente al contenido del citado Informe.  Conviene recordar que la Comisión consultó "informalmente" al EDPS antes de publicar el Informe y que algunos de esos comentarios "informales" fueron tomados en consideración en el Informe final.

(Enlaces a los documentos al final del post)

La Opinión se centra en tres aspectos principales:

• Destacar la importancia de la privacidad y la protección de datos en las iniciativas actuales de entornos en la nube (en particular, que el nivel de protección en la nube no debe ser inferior al que le correspondería en cualquier otro contexto de tratamiento de datos).
• Los retos que derivan para determinar sin ambigüedades las responsabilidades que corresponden a cada una de las partes implicadas.
• Identificar que acciones serán necesarias, por parte de los estamentos europeos, para dar apoyo al despliegue de los servicios en la nube en Europa (guías, estándares, certificaciones, modelos contractuales, etc).

He aquí los aspectos más importantes, según esta Opinión del EDPS, en lo que a protección de datos personales se refiere:

• Cloud computing permite el tratamiento de gran cantidad de datos, entre los cuales datos de carácter personal.  Deben establecerse las medidas necesarias para la protección de los datos y la privacidad de los usuarios.
• Cuestiones inherentes a las tecnologías en la nube, como el outsourcing o el acceso remoto a datos, plantean cuestiones relacionadas con la protección de datos que se deben tener en cuenta.
• Generalmente, en entornos cloud, el cliente no conoce la ubicación física de los datos, sin embargo la localización del hosting es un elemento muy importante para la aplicabilidad de las legislaciones nacionales.
• Suele haber una "asimetría contractual" entre los proveedores del servicio en la nube y los clientes, que puede llegar a dificultar en gran manera el cumplimiento de las normativas de protección de datos para los encargados de su tratamiento.
• Es habitual la intervención de diferentes actores en la prestación del servicio al cliente, lo que puede suponer que se diluyan las responsabilidades, en especial cuando se  trata de seguridad de los datos, acceso y auditoría.
• El cloud computing a menudo conlleva una transferencia de datos entre redes e infraestructuras, que pueden pertenecer a proveedores distintos y que pueden estar establecidos en países diferentes, incluso fuera de la UE.  Los Responsables y Encargados del tratamiento deben garantizar un adecuado nivel de protección en esas transferencias.
• Finalmente, no hay que olvidar que la computación en la nube es una tecnología en evolución y que nuevas tendencias pueden suponer nuevos retos.  La Opinión del EDPS esta basada en la situación actual y en las perspectivas que se albiran, pero no puede predecir cual será el futuro en este ámbito.

Enlaces:

• Nota de prensa del EDPS (16/11/2012) "Responsibility in the Cloud should not be up in the air": http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2012/EDPS-2012-15_Cloud%20computing_EN.pdf 
• Informe de la Comisión "Unleashing the Potential of Cloud Computing in Europe": http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud.pdf
• Opinión del EDPS sobre el Informe de la Comisión: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf