Marco legal del Cloud Computing: la Ley de Protección de Datos y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico
La principal tarea del Cloud Computing es la gestión remota de la información, por ello tanto las empresas contratantes como las contratadas en servicios de Cloud deben tener en cuenta una serie de leyes que afectan al tratamiento de la información y la protección de los datos de los contratantes.
Estas leyes y normativas varían según el lugar en el que se alojen los servidores contratados, pero nosotros nos vamos a centrar en Europa. En el caso europeo, es la Directiva 95/46/CE la que fija los criterios de protección de datos y su libre circulación.
Además, existen otras normativas de la Comisión Europea yagencias de control que vigilan que se cumpla el marco legal aplicable. Entre estas agencias podemos destacar laAgencia Europea de Seguridad de las Redes y de la Información (ENISA).
Pero vamos a centrarnos en el caso concreto de España, donde encontramos una serie de leyes y normativas aplicables al ámbito de la protección de datos en Cloud. Vamos a tratar la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI).
Ley de Protección de Datos (LOPD)
La
Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal regula los aspectos relativos al tratamiento de datos personales y su libre circulación. En nuestro país existe la AEPD que es la
Agencia Española de Protección de Datos, el
órgano de control que se encarga de garantizar el cumplimiento de la normativa.
Si la empresa contratada va a trabajar con datos personales de la empresa o persona contratante, debe cumplir con una serie de obligaciones que marca la LOPD:
- Inscripción de ficheros.
- Deberes relacionados con la información en la recogida, el consentimiento y la calidad de los datos.
- Garantía de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
- Adopción de medidas de seguridad.
Si lo datos no son personales, la LOPD no marca ningún tipo de requisito. Con datos no personales nos referimos a operaciones matemáticas, cálculos físicos o fórmulas químicas, por ejemplo.
Ley de Servicios de la Sociedad de la Información (LSSI)
Las empresas que se dedican a temas relacionados con el Cloud Computing son prestadores de servicios de la sociedad de la información por lo que deben cumplir una serie de requisitos marcados por la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI).
Así pues, según la LSSI, los proveedores de servicios relacionados con la sociedad de la información debeninformar a sus clientes de forma fácil, directa y gratuita sobre los siguientes temas:
- Los medios empleados para garantizar y aumentar la seguridad de la información del cliente, tales como programas antivirus, antiespías y filtros de correo electrónico si fueran necesarios.
- Las medidas de seguridad que se aplican en el servicio prestado.
- Las herramientas que existen para el filtrado y/o la restricción del acceso a determinados contenidos y servicios de Internet no deseados por el cliente.
- Las responsabilidades en que se puede incurrir por el uso ilícito de la Red.