El Informe 0464/2012 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de ciertas cláusulas de un contrato de prestación de servicios de cloud computing con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La consulta proviene de una clínica médica que desea saber si las cláusulas del contrato cumplen con la normativa vigente.
El informe comienza destacando los riesgos específicos que plantea el tratamiento de datos personales en la nube, divididos en dos categorías principales: la falta de control sobre los datos y la falta de transparencia. La falta de control se manifiesta en aspectos como la disponibilidad, integridad, confidencialidad, posibilidad de intervención y aislamiento de los datos. La falta de transparencia se refiere a la insuficiente información sobre las operaciones de tratamiento, lo que puede llevar a riesgos como el tratamiento en cadena con múltiples encargados y subcontratistas, o la transmisión de datos a terceros países sin las garantías adecuadas.
El informe subraya que la entidad que contrata el servicio de cloud computing sigue siendo responsable del tratamiento de los datos, y que esta responsabilidad no se desplaza al proveedor del servicio, aunque sea una gran compañía multinacional. La normativa aplicable será la del país donde esté establecido el responsable del tratamiento, no la del lugar donde se encuentren los proveedores de los servicios.
El contrato entre el responsable del tratamiento (la clínica) y el encargado del tratamiento (el proveedor de cloud computing) debe formalizarse conforme al artículo 12 de la Ley Orgánica 15/1999. Este artículo establece que el encargado del tratamiento solo puede actuar bajo las instrucciones del responsable y que debe implementar las medidas de seguridad necesarias. Además, una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.
El informe detalla que la cláusula transcrita por el consultante es insuficiente para cumplir con el artículo 12 de la Ley Orgánica 15/1999, ya que no especifica los servicios a prestar, las instrucciones del cliente, ni las medidas de seguridad a implementar. Se recomienda que el contrato incluya aspectos como el alcance y modalidades de las instrucciones del cliente, las medidas de seguridad, la disponibilidad, integridad, confidencialidad, aislamiento, posibilidad de intervención, portabilidad de los datos, y la supresión segura de los datos.
Además, el informe aborda la subcontratación, señalando que el responsable del tratamiento debe conocer a los subcontratistas y que los contratos con ellos deben garantizar el cumplimiento de las instrucciones del responsable. También se menciona la necesidad de transparencia en las transferencias internacionales de datos, especialmente a países fuera del Espacio Económico Europeo, y la importancia de obtener las garantías adecuadas para estas transferencias.
En resumen, el informe concluye que las cláusulas del contrato de cloud computing no cumplen con la normativa de protección de datos y que es necesario especificar detalladamente los aspectos mencionados para garantizar la protección de los datos personales tratados en la nube.