guía sobre cloud computing

Transcripción

EL TRACTAMENT DE LES DADES
PERSONALS EN L’ÁMBIT DE
L’ADVOCACIA I LES DADES AL NÚVOL
(CLOUD COMPUTING)
JESÚS RUBÍ NAVARRETE
ADJUNTO AL DIRECTOR
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
ANDORRA 27/03/2015
Agencia Española de Protección de Datos
1
Sujetos obligados en protección de datos
• Categorías LOPD:
– Responsable del fichero o del tratamiento: quien, solo o
conjuntamente con otros, decide sobre la finalidad,
contenido o uso del tratamiento
– Encargado del tratamiento: quien, solo o conjuntamente
con otros, trate datos personales por cuenta del
responsable del tratamiento
• Doctrina Tribunal Supremo (SSTS de 5/6/04, 28/2/05 y
26/4/05):
– Responsable del fichero: quien decide la creación del
fichero, su aplicación, su finalidad, contenido y uso
– Responsable del tratamiento: quien adopta decisiones
sobre las concretas actividades de un determinado
tratamiento de datos
2
Ficheros de los abogados
• Ficheros propios
– Asuntos
– Clientes (facturación)
– Proveedores
– Nómina
– Contactos
– Publicidad
• Ficheros respecto de el abogado es encargado
del tratamiento (por ejemplo si es Secretario del
Consejo de una sociedad o actúa como gestor)
3
Requisitos formales para la existencia
de un encargado del tratamiento
• El servicio prestado por el encargado del tratamiento podrá
– Tener o no carácter remunerado
– Ser temporal o indefinido.
• Deberá existir un contrato entre el responsable y el encargado
del tratamiento. Contenido:
– Especificación de las instrucciones del responsable y
limitación del tratamiento del encargado. El encargado no
aplicará los datos a otro fin.
– El encargado implantará las medidas de seguridad
legalmente exigidas
– El encargado no transmitirá los datos ni siquiera para su
conservación a un tercero
– El encargado destruirá los datos al terminar la relación o los
devolverá al responsable
4
Tratamiento por los abogados
de los datos de las partes
• Informe de la AEPD de 21 de febrero de 2001
– Consulta: ¿Los abogados deben recabar el
consentimiento de sus clientes y de su contraparte para
tratar los datos?
– Conclusiones de la AEPD
• Respecto de los clientes, existe una relación jurídica
(aplicación del artículo 6.2 LOPD)
• Respecto de la contraparte
– Sus datos son necesarios para:
• Garantizar el derecho a la defensa
• Garantizar el derecho al uso de los medios de
prueba necesarios
– En consecuencia, existiría una habilitación al
tratamiento derivada directamente del artículo 24
CE.
5
Tratamiento por los abogados de los datos de
las partes (resoluciones de archivo)
•
•
•
•
•
Resolución de 10 de enero de 2005
– No es preciso el consentimiento para el tratamiento de datos de la
otra parte y de su abogado
Resolución de 12 de mayo de 2005
– Comunicación de datos sobre despido para su uso en un
procedimiento administrativo
Resolución de 17 de octubre de 2006
– Aportación de la declaración de IRPF del cónyuge en un proceso de
divorcio, aportada al Abogado por su cliente (la otra parte en el
proceso)
Resolución de 9 de junio de 2007
– Recusación de un miembro de un órgano arbitral por ser socio de un
despacho que asesora a la otra parte en un proceso judicial
Resolución de 11 de octubre de 2007
– Aportación de información patrimonial de la otra parte, obtenida en
el seno de un proceso por el abogado de la contraparte para
oponerse a la concesión del beneficio de justicia gratuita
6
Deber de informar en el ejercicio
de la profesión
• Informe de la AEPD de 21 de febrero de 2001
– Consulta: ¿Los abogados deben informar a sus clientes y de
su contraparte del tratamiento de sus datos?
– Conclusiones de la AEPD
• Respecto de los clientes, debería cumplirse el deber de
información al recoger los datos de los mismos (al
comenzar la relación con el cliente, no en cada momento)
• Respecto de la contraparte
– Colisión entre el derecho fundamental a la protección
de datos y el derecho fundamental a la tutela judicial
efectiva
– Prevalencia del derecho a la tutela judicial efectiva
– Obligación de cumplimiento de los restantes principios
de protección de datos y del deber de secreto
profesional
– Medidas de seguridad (nivel alto)
7
Derechos respecto del tratamiento de datos
en el ejercicio profesional
• Resolución 115/2002 de la AEPD (marzo de 2002)
• Supuesto
– Ejercicio del derecho de acceso por un oponente de un
cliente de un despacho de abogados.
– El despacho no contestó y se solicitó la tutela de la
AEPD
• Aplicación de las previsiones ya vistas sobre tutela judicial
efectiva y secreto profesional.
• Resolución
– Debía haberse dado respuesta a la solicitud de acceso
– Sin embargo, dicha respuesta debía ser denegatoria por
aplicación del artículo 24 de la Constitución y
concordantes de la LOPJ
– En consecuencia, se estimó la tutela, pero únicamente
por motivos formales, debiendo contestarse a la
solicitud en sentido negativo
8
Especialidades en las modalidades de
ejercicio profesional
• Delimitación del responsable del fichero según
las formas de ejercicio
– Ejercicio individual
– Ejercicio individual compartiendo locales
– Ejercicio colectivo
• Independencia de los tratamientos y de las
medidas de seguridad en caso de ejercicio
individual compartiendo locales
• Aplicación del principio de proporcionalidad en la
determinación de los usuarios de los datos en
caso de ejercicio compartido
9
CLOUD COMPUTING
• Modalidades de computación en nube:
– Privada
– Pública
– Híbrida
– Comunitaria
• Modalidades de servicios:
– Infraestructura como servicio (IAAS)
– Plataforma como servicio (PAAS)
– Software como servicio (SAAS)
• Las modalidades de computación y las modalidades
de servicios condicionan la aplicación de la LOPD
10
POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
• El cliente como responsable del tratamiento:
– Decisión sobre la finalidad, contenido y uso del
tratamiento (Art. 3.d) LOPD)
• Decisión sobre optar por la computación en
nube (total o parcial)
• Decisión sobre la modalidad de computación
en nube (en particular sobre TID)
• Decisión sobre las modalidades de servicios
de computación en nube
– Responsabilidad sobre el tratamiento de los
datos personales (no se desplaza la
responsabilidad)
– El CCP como encargado de tratamiento
11
POSICIÓN JURÍDICA DE
LOS INTERVINIENTES
• Consecuencias de la posición jurídica de los
intervinientes:
– Ley aplicable: La ley nacional del
responsable/cliente (art. 2.1.a) LOPD)
– La fragmentación y encriptación de los datos
– Garantías contractuales ex art. 12 LOPD
12
CAMBIO DE PARADIGMA
• La relación tradicional responsable/encargado (art.
12 LOPD) no responde al modelo cloud computing
– Instrucciones del responsable al encargado
– No comunicación a terceros ni siquiera para su
conservación
– Estipulación de las medidas de seguridad a
implementar por el encargado
– Destrucción o devolución de datos al término de
la prestación
13
CAMBIO DE PARADIGMA:
SUBCONTRATACIÓN
• Los criterios tradicionales en la subcontratación
(art. 21.2 RLOPD y STS de 15 de julio de 2010) no
responden al modelo cloud computing
– Especificación de los servicios a subcontratar
– Indicación de las empresas subencargadas
– Autorización del responsable/cliente sobre los
subencargados
– Contrato entre encargados y subencargados
14
CAMBIO DE PARADIGMA
•
•
•
•
•
Autonomía del CCP
Contratos de adhesión
Selección subencargados (proceso dinámico)
Oferta de medidas de seguridad
Opción sobre TID
15
MODULAR LA NORMATIVA APLICABLE:
TRANSPARENCIA
• Diligencia exigible al responsable:
– Velar por que el encargado reúna las garantías
exigibles (art. 20.2 RLOPD)
• Obtener información sobre las garantías del
contrato conforme al art. 12 LOPD
• Ejercer diligentemente su posición de
responsable sobre el tratamiento de los datos
de los interesados
16
TRANSPARENCIA
• Diligencia exigible al encargado (de oficio):
– Información detallada sobre la tipología de
computación en nube y de servicios que ofrece
(tipología de nube, tipología de servicios,
participantes en la prestación de servicios, TID)
– Información sobre medidas de seguridad
(niveles de seguridad, auditoría, encriptación,
incidencias de seguridad). Análisis funcional,
no estrictamente formal
– Información sobre portabilidad
– Información sobre cesiones y TID
– Información sobre ejercicio de derechos ARCO
17
TRANSPARENCIA
• Instrucciones del responsable:
– Selección del tipo de computación en nube y de
los servicios a contratar
– Decisión sobre los tratamientos que no se
contratan al CCP (naturaleza de la información,
posible pérdida de control,…)
– Decisión sobre la información solicitada y/o
ofrecida por el CCP
18
TRANSPARENCIA
• Medidas de seguridad:
– Auditoria externa e independiente (incluso
cuando no se exijan medidas de seguridad de
nivel medio)
– Comunicación de las incidencias de seguridad
que afecten al cliente/responsable (Notificación
brechas de seguridad)
• Portabilidad (art. 20.3 RLOPD)
– Devolución o migración a un nuevo prestador
de servicios designado por el responsable
19
SUBENCARGADO
• Autorización previa sobre empresas
subencargadas
– Especificación funcional de los servicios
susceptibles de subcontratación (p.ej. hosting)
– Relación actualizada de entidades
subencargadas (p.ej. Accesible en sitio web con
indicación de países en que opera)
– Tipología de garantías a exigir (incluidas TID)
• Contratos jurídicamente vinculante en todos los
procesos de tratamiento, conforme a la ley
aplicable (responsable/encargado.
Encargado/subencargado)
• Posibilidad de actuación de la AEPD
20
ESCENARIOS DE TRANSFERENCIAS
INTERNACIONALES
• NIVEL ADECUADO DE PROTECCIÓN
- Establecido por Decisión de la Comisión
Europea
- Suiza, Argentina, Canadá, Guernsey, Isla de
Man, Jersey, Andorra, Israel y Uruguay
- ENTIDADES DE EEUU ADHERIDAS A
PUERTO SEGURO/SAFE HARBOR
• TERCEROS PAÍSES (Clausulas contractuales,
BCR,s)
21
ADHERIDOS A PUERTO SEGURO
•La prestación de servicios desde Estados Unidos a una
empresa española supone TID.
•Las entidades estadounidenses adheridas a Safe Harbor tienen
reconocido por la Comisión un adecuado nivel de protección
(Decisión 2000/520/CE).
•Esta TI no requiere autorización del Director de la Agencia.
•Requiere un contrato de prestación de servicios (art. 12 LOPD y
arts. 20-22 RLOPD, FAQ nº 10 Decisión 2000/520/CE)
•El contrato de prestación de servicios puede autorizar la
subcontratación.
•El principio de transferencias ulteriores de Safe Harbor limita al
prestador de servicios la subcontratación a otras entidades
adheridas a Safe Harbor o mediante un contrato que exija el
cumplimiento de los principios de protección de datos
(encadenamiento de garantías)
22
Clausulas contractuales tipo
(Decisión 2010/87/UE)
• Consulta AEPD sobre adecuación a Decisión:
– Auditoria por tercero independiente
– Contrato único con subencargados
• Conclusiones:
– Son garantías adecuadas TID
– No amparadas por Decisión 2010/87/UE
– Auditoría (cláusula 5.f), cláusula 12.2, WP 196 apartado
4.1): Capacidad de control por responsable
– Contrato único (cláusula 11,WP 176). Exclusión
– Posible autorización por APD nacional (Apartado 5
Preámbulo Decisión 2010/87/UE)
23
SUBCONTRATACIÓN
ENCARGADO - SUBENCARGADO
• Decisión 2010/87 (Considerando 23)
• Marco contractual que comprende dos contratos
• Contrato responsable-encargado:
– Suscrito caso a caso por el responsable/cliente
– Remisión a garantías del contrato autorizado para TID
24
SUBCONTRATACIÓN
• Contrato responsable – encargado/exportador en UE.
Garantías
– Ley aplicable: Ley del responsable
– Autorización para subcontratar y TID
• Contrato encargado/exportador – Subencargado en tercer
país
– Encargado del tratamiento: Exportador autorizado por
AEPD
– El responsable no es parte del contrato
– Autoriza TID, incluidas futuras TID (Condiciones generales
de contratación):
• Potenciales responsables/clientes
• Nueva autorización innecesaria
25
SUBCONTRATACIÓN
– Garantías Decisión 2010/87 adaptadas:
• Ley aplicable: Ley del responsable
• Información sobre subencargados ulteriores
• Clausula de tercero beneficiario
• Cooperación con AEPD
– Posibilidad de autorizar condiciones generales de
contratación adaptados a los modelos de negocio de cloud
computing (encargado principal UE, encargado principal
tercer país y subencargados en terceros países)
26
GUÍA SOBRE CLOUD COMPUTING
• ESTRATEGIA PARA EL CLIENTE
– Evaluar los tratamientos y la sensibilidad de los
datos:
• Análisis de los tratamientos a transferir a la
nube
– Verificación de las condiciones de prestación del
servicio (aspectos tecnológicos, económicos y
legales)
• Lista de control (12 preguntas)
27
• Antes de contratar:
– Evaluar la tipología de datos y los niveles de
seguridad
– Información sobre los tipos de nube y de
servicios (incidencia en la protección de datos
personales)
– Seleccionar los servicios y el prestador
• Responsabilidad del cliente
– El cliente es responsable del tratamiento
– El prestador de servicios es encargado del
tratamiento
– La responsabilidad no se desplaza
contractualmente
28
• Legislación aplicable
– Ley aplicable al responsable (LOPD)
– No se modifica contractualmente
– La fragmentación y encriptación no excluyen la
aplicación de la ley (Dictamen 05/2012 – WP 196sobre computación en nube. Nota a pie de página nº
27)
• Obligaciones en subcontratación (modulación)
– Obtener información sobre subcontratistas
– Dar su conformidad (al menos delimitando
genéricamente los servicios)
– Poder conocer a los subcontratistas (p.ej. Acceso a
web)
– Garantías contractuales entre el prestador y los
subcontratistas
29
• Localización de los datos
– UE/EEE. Cesiones de datos
– Terceros países: TID
• Garantías para TID
– Nivel adecuado de protección (enlace a países)
– Acuerdo de Puerto Seguro con empresas EEUU
(Para prestación de servicios, garantías
contractuales)
– Otras garantías contractuales (información
adicional)
– Diligencia para conocer si hay TID,s y con qué
garantías (requerimientos de información por
autoridades de terceros países)
30
• Medidas de seguridad (modulación)
– Conocer los niveles de seguridad exigibles
(información adicional)
– Certificación de seguridad adecuada
– Auditoria por tercero independiente y confiable
– Diligencia para informarse sobre las medidas de
seguridad que se ofrecen y sobre su
cumplimiento
– Conocer los incidentes de seguridad sobre los
datos de los que es responsable
31
• Garantías de confidencialidad
– Tratamiento de datos sólo para la prestación del
servicio
– Compromiso de confidencialidad del personal del
prestador
• Garantías de portabilidad
– Devolución a sus propios sistemas o migración a
un nuevo proveedor
– Formato que permita su utilización en plazo
breve y garantizando la integridad
32
• Garantías sobre el borrado de los datos
(certificación de destrucción)
• Garantías para el ejercicio de derechos ARCO
– Información y cooperación de prestador de
servicios
33
MOLTES GRÀCIES
34

guía sobre cloud computing

Transcripción

Documentos relacionados

11/02/10 - Vergonya Entre les moltes coses que em fan vergonya

ANTONIO CARLOS ROYO BARCENAS (1.970) Es Administrador de

Implementaciones de Cloud Computing y

Las cinco facetas de la Tercera Plataforma