El Informe 0157/2012 de la Agencia Española de Protección de Datos (AEPD) aborda cuestiones relacionadas con la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, en el contexto de la contratación de servicios de computación en nube («cloud computing»). La consulta se centra en dos aspectos principales: la auditoría de sistemas por terceros independientes y la subcontratación de servicios de tratamiento de datos.
En primer lugar, se analiza si la consultante puede contratar a un tercero independiente para realizar auditorías de los sistemas de la entidad importadora (una sociedad estadounidense del grupo). El informe concluye que esta opción es viable siempre que el tercero sea independiente y esté debidamente certificado. Además, las partes deben acordar que la elección de este tercero se realice por la consultante, permitiendo al cliente acceder a los resultados de la auditoría.
En segundo lugar, se examina si es admisible que la importadora firme un único contrato con subcontratistas que cubra todas las actividades de tratamiento de datos. El informe determina que esto es posible siempre que los clientes tengan claro conocimiento de la identidad y actividades de los subcontratistas, y que se establezca un procedimiento para acceder a esta información.
El informe también evalúa si las modificaciones propuestas a las cláusulas contractuales tipo aprobadas por la Decisión 2010/87/UE permiten considerar que las garantías aportadas son suficientes para la transferencia internacional de datos. Concluye que, aunque las garantías propuestas podrían ser adecuadas, las modificaciones no permiten ampararse en el modelo estandarizado de la Decisión 2010/87/UE.
Finalmente, se sugiere que la consultante puede solicitar al Director de la AEPD una resolución de autorización de transferencia internacional de datos basada en las garantías derivadas de las modificaciones propuestas. Si se adopta esta resolución, las empresas clientes no necesitarían solicitar autorización singular para cada transferencia, bastando con notificar la modificación del fichero correspondiente.
En resumen, el informe de la AEPD proporciona un marco para la contratación de servicios de computación en nube, asegurando que se cumplan las garantías necesarias para la protección de datos personales en transferencias internacionales, aunque no se pueda amparar en el modelo estandarizado de la Decisión 2010/87/UE.