¿QUÉ TENER EN CUENTA PARA LA CONTRATACIÓN DE SERVIDORES EN CLOUD?

Si algo es cada vez más común en las empresas, de sectores tecnológicos o no, es la contratación de servidores en Cloud donde almacenar su información y centralizarlas conexiones de sus empleados y colaboradores. Independientemente de todas las características técnicas que deben reunir estos servidores, debemos recordar una serie de aspectos legales fundamentales ante la contratación de estos servicios:

Los prestadores de servicios ubicados en España deberán dar cumplimiento a la legislación española, independientemente de donde se ubiquen los servidores, por tanto, en materia de protección de datos se deberá cumplir la LO 3/2018 de Protección de Datos y Garantía de los Derechos digitales y el Reglamento (UE) 2016/679 más conocido como RGPD.

El cliente que contrata servicios de alojamiento seguirá siendo el Responsable de Tratamiento de los datos almacenados y el proveedor del servicio pasará a ser el encargado del tratamiento. Esta relación quedará regulada por lo dispuesto en el artículo 28 del RGPD por el que las partes deben suscribir un contrato con un contenido mínimo obligatorio, el denominado contrato de encargo de tratamiento.

Otra de las cuestiones que deberá tener en cuenta el responsable del tratamiento es evaluar la tipología de datos que trata en función del nivel de seguridad exigido por el RGPD, esto delimitará las finalidades para las que el proveedor puede tratar los datos y las medidas de seguridad que se deberán adoptar para asegurar la confidencialidad, la integridad y la recuperación de dicha información.

Pero la cuestión más relevante en la contratación de servidores será en qué país se ubican. Esta localización debe ser conocida, siempre, por parte de la empresa que contrata los servicios ya que no todos los estados cumplen, al mismo nivel, las garantías adecuadas en protección de datos. Es sorprendente ver en el día a día la cantidad de empresas que desconocen completamente dónde está el servidor con sus datos.

Si los servidores se ubican dentro del Espacio Económico Europeo se considera que ofrecen garantías suficientes y no se considera transferencia internacional de datos.

Sin embargo, fuera del Espacio Económico Europeo hay que asegurarse que el país de ubicación proporciona un nivel de protección equivalente al europeo. Para ello, la Comisión Europea ha configurado mediante decisiones de adecuación un listado de países con un nivel adecuado de protección, que se puede consultar en la misma web de la Agencia Española de Protección de Datos.

Si los servidores contratados en cloud tampoco se encuentran en este listado, deberemos acudir a las herramientas jurídicas que establece el artículo 46 del RGPD para conseguir que la transferencia sea calificada de adecuada y pueda llevarse a cabo. Como último punto a destacar en este análisis sería la existencia o no de subcontratación de los servicios de hosting del proveedor a un tercero. El Reglamento obliga, como norma general, a los encargados de tratamiento a informar de los subencargados a los que contrate para desarrollar el servicio contratado, extremo que se detallará en el contrato de encargo de tratamiento. Pero en el caso en el que nos encontramos de servidores en la nube, esta circunstancia adquiere mayor importancia en tanto que la empresa cliente deberá analizar, como hemos visto, donde estarán ubicados los servidores y qué medidas de seguridad podrá garantizar esta tercera empresa.

Leave a Reply:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *