cloudicamos

¿CLOUDICAMOS?

VI CONGRESO AUDITORÍA, SEGURIDAD Y GOBIERNO

@eduardchaveli

http://www.linkedin.com/in/eduardchavelI [email protected]

© 2012. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.

Responsabilidad = diversas consecuencias: -  Económicas: Se pueden mitigar o desplazar (ej. Contrato de Seguros, Repetir al proveedor) - Otras (ej. Reputación): NO Los contratos suelen disponer de cláusulas de exclusión de responsabilidad a ciertos supuestos y ciertos límites # Tan importante como la fijación de la responsabilidad es su exigibilidad ¿QUÉ TENEMOS QUE COMPROBAR?: Revisar qué cláusulas de exclusión de responsabilidad tiene el contrato y qué límites. Y la exigibilidad. ¿Dónde reclamarla?

1. RESPONSABILIDAD

2. PROTECCIÓN DE DATOS

2

¿Hay tratamiento de datos personales y por tanto es de aplicación la legislación sobre protección de datos? La aplicación de la norma no únicamente cuando se aloje una BBDD. A tener en cuenta: El estándar de exigencia fijado por el TJCE en el Asunto C-101, Lindqvist, es muy alto: «… la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» 2. El concepto de dato de carácter personal es amplio (según AEPD):

Persona identificada: nombre y apellidos, imagen … Pero también identificable: DNI, IP, email, matrícula de vehículo….

3. En particular: En el caso de provisión de servicios de correo electrónico

La asignación de cuentas de correo = tratamiento de DP. 2. La contratación del uso de aplicaciones que potencialmente, sirvan para el tratamiento de datos personales = tratamiento de DP.

2 .1.¿ES DE APLICACIÓN LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS? •  EXIGENCIA MUY ALTA. Ej. TJCE en el Asunto C-101 (Lindqvist): «… la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» •  Concepto de dato de carácter personal (DP) amplio: DP: Persona identificada o identificable. Nombre, apellidos, DNI, IP, email, matrícula de vehículo…. - Ejemplos en el cloud:

-  Provisión de servicios de correo electrónico -  Aplicaciones que traten datos personales

2 PROTECCIÓN DE DATOS

3

2.2. ¿ES DE APLICACIÓN LA LEGISLACIÓN ESPAÑOLA? (Artículo 2 LOPD y 3 del RDLOPD) Aplicará la legislación española de protección de datos cuando: A. El responsable del tratamiento esté en territorio español. Aplican todas las obligaciones de la LOPD y del RD 1720/2007. B. El encargado del tratamiento esté en España. Serán de aplicación al mismo las medidas de seguridad (título VIII del RD 1720/2007). C. El responsable del tratamiento no en territorio español pero normas de Derecho internacional público. D. El responsable del tratamiento no en UE pero utilice medios situados en España, salvo medios de tránsito. El responsable deberá designar un representante en España.


4

NOTAS: -  No se puede disponer (pactar) por las partes la legislación aplicable en

protección de datos.

-  Si que podrá incluir el contrato cláusulas de mediación

Los asistentes a este congreso cuyas organizaciones estén en territorio español, sean responsables y contraten servicios de cloud, (independientemente de quien sea el proveedor y donde esté el mismo) han de cumplir la legislación española


5

2.3. ENCARGADO DEL TRATAMIENTO Art. 5 RDLOPD: «Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio». CONCLUSIÓN: El prestador de servicios en la Nube es un encargado del tratamiento. # Pero en determinados supuestos el proveedor de cloud puede ser responsable del tratamiento CONSECUENCIA: Aplicación del conjunto de criterios del Capítulo III del Título II del RD 1720/2007.


6

2.4. RELACIÓN ENTRE RESPONSABLE DEL FICHERO (RF) Y ENCARGADO DEL TRATAMIENTO (ET)

ASPECTOS TRADICIONALES/DINÁMICA CLOUD -  ¿El RF “decide” o “manda”? -  ¿El RF tiene el control de donde están los datos? # Los esquemas legales tradicionales no valen tal cual para el cloud OBLIGACIONES -  Firma de contrato de acceso a datos (art. 12 LOPD). -  + Deber de diligencia del RF respecto del ET


7

2.4.1. FIRMA DE UN CONTRATO FORMALMENTE: Contrato ad hoc, cláusula, o anexo. CONTENIDO OBLIGATORIO •  “que el encargado del tratamiento únicamente tratará los datos conforme a las

instrucciones del responsable” •  “que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato”. •  “que no los comunicará, ni siquiera para su conservación, a otras personas”. •  “las medidas de seguridad … que el encargado del tratamiento está obligado a

implementar”. •  “que una vez cumplida la prestación contractual, los datos de carácter personal deberán

ser destruidos o devueltos al responsable del tratamiento …” # Pero en temas de cloud es especialmente importante revisar otros aspectos de los contratos que se detallan posteriormente


8

2.4.2. ASPECTOS CONCRETOS A.  SUBCONTRACIÓN a. Regla general: El ET no puede subcontratar b. Régimen alternativo: Posibilidad cuando éste autorización. Requisitos:

1. En el contrato consten los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. 2. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. 3. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 4. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato del art. 12 LOPD. Si se da una subcontratación sobrevenida total o parcial no prevista en el contrato debe someterse al responsable.


9

ADAPTACIÓN AL CLOUD (POSIBLE FÓRMULA): # La subcontratación es muy habitual en el cloud y requiere adaptar las exigencias -  Que el cliente autorice los servicios susceptibles de subcontratación

(p.ej. servicios de “hosting”). -  Que tenga permanentemente a su disposición una relación

actualizada:

-  De las entidades subcontratadas -  Y de los países donde operan. Por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado. (Extraído del informe “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal”. AEPD Y CGAE)


¿Qué dice el GRUPO DE TRABAJO DEL ARTÍCULO 29 (GTA29)? # La trasparencia debería llegar hasta el titular (cliente final) Entre otras cosas añade.. TRANSPARENCIA. Buena práctica Que el cliente del servicio cloud informe a los titulares (clientes últimos) de los datos sobre: 1. Quién va a ser el proveedor del “cloud” 2. Los subcontratistas (si los hubiera) 3. Y el lugar donde se van a tratar los datos. # Si para el cliente está nublado como no lo va a estar para el titular (“cliente” final)


11

. ¿ QUÉ TENEMOS QUE COMPROBAR?

1. Si el encargado subcontrata. 2. Si se le autoriza 2. Si se cumplen los requisitos indicados (letras A – D), con las “adaptaciones· indicadas para el cloud.


12

B. SEGURIDAD 1.  Si ET en EEE: con el estándar del Paísde la EEE es suficiente. 2. Si no está en la EEE: pactar RDLOPD Artículo 82 RDLOPD 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento. # No se sabe aún qué pasará con el tema de las medidas en el futuro Reglamento Europeo


13

¿QUÉ TENEMOS QUE COMPROBAR?: 1. En general: ¿hemos realizado un mínimo análisis de riesgos? ¿Se nos ofrece información fiable? 2. Elementos concretos básicos:

•  Formación de los usuarios del encargado. •  Copias de seguridad. •  Protección de los accesos a través de redes. •  Protocolos de gestión y respuesta ante incidencias. •  Controles de acceso y protección frente accesos indebidos de otros clientes y terceros

proveedores. •  Localización de los recursos. •  Identificación y autenticación. •  …..

3. ¿Reúne el software los requisitos de la D.A.1ª RDLOPD? 4. ¿Dispone de alguna certificación o emplea alguna métrica que podamos verificar? ¿ISO 27001/otras específicas ? 5. ¿Se audita? Y si lo hace ¿Exhibe documentación acreditativa y fiable?


14

.

C. CONSERVACIÓN DE LOS DATOS POR EL ENCARGADO Art. 12.3 LOPD : “Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento …” . Art. 22 RDLOPD: - Añade posibilidad de devolución de datos al ET que el Responsable hubiese designado. - Aclara disyunción “destruidos o devueltos”. “No procederá la destrucción … cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación”. -Establece posibilidad ET conserve datos para salvar responsabilidades (Informe 283/2004. Conservación de los datos por el encargado del tratamiento)


15

¿QUÉ TENEMOS QUE COMPROBAR?: 1. Asegurar la conservación y pacífica exportación de datos. 2. Prever portabilidad (Vid. propuesta Reglamento Europeo) 3. Revisar concreción del contrato pues en ocasiones se condiciona a un periodo (incluso con fórmulas indeterminadas como período razonable de tiempo) o a pago de precios. # Aunque una cosa sea el contrato y otra la realidad física debe preverse en el contrato claramente


16

.

3.4.3 EL DEBER DE VIGILANCIA DEL RESPONSABLE EN RELACIÓN CON EL ENCARGADO Art. 20 RDLOPD: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este Capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”. CUESTIÓN: ¿Cuándo se puede entender que el responsable “cumple” y no será responsable de los actos del encargado? # Debe existir una cláusula que habilite al responsable a solicitar documentación al encargado # Ejemplos de documentación: Certificaciones, informes de auditoría, documento de seguridad ..


17

¿QUÉ TENEMOS QUE COMPROBAR?: 1. ¿Hemos elegido a un proveedor que transmite confianza? 2. ¿Esa confianza se basa en información objetiva? 3.  ¿En el contrato se contempla la posibilidad de exigir dicha

información al encargado? 4.  ¿Hemos elegido bien la información a requerir?


18

.

3.5. TRANSFERENCIAS INTERNACIONALES DE DATOS (TID) 3.5.1. IMPORTANCIA. CONCEPTO # En determinadas modalidades de cloud se producen TID y es una cuestión determinante. # Muchos problemas del cloud están en la tierra. En la territorialidad de las leyes. - Transferencia Internacional de datos (artículo 5.1.s RLOPD) “Tratamiento de datos que supone la transmisión de los datos fuera del Espacio Económico Europeo, tanto cesión (a otro responsable) tanto prestación de un servicio (encargado de tratamiento)” - Transmisión de datos a países del Espacio Económico Europeo = NO TID SI posible Cesión de Datos


19

.

FUENTE: https://www.privacyinternational.org/global-data-protection-map

# ¿Sabemos por y a donde viajan nuestros datos ?


20

.

2.5.2. MARCO REGULADOR •  DIRECTIVA 95/46 DE PROTECCIÓN DE DATOS. Arts. 25 y 26

•  LOPD. Arts. 33 y 34

•  REGLAMENTO DE DESARROLLO LOPD. RD 1720/2007

•  Título VI. Transferencias Internacionales de datos. •  Título IX. Capítulo V. Procedimientos relacionados con las

transferencias internacionales de datos.

•  DECISIONES COMISIÓN EUROPEA


21

.

2.5.3. RÉGIMEN. OPCIONES. VISIÓN GENERAL

1. DENTRO ESPACIO ECONÓMICO EUROPEO No TID 2. A PAÍS CON NIVEL ADECUADO DE PROTECCIÓN Si TID pero sólo requiere comunicarla en la Inscripción 3. A ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO DE PROTECCIÓN Si TID y además requiere autorización del Director de la AEPD


22

.

2.5.4 DETALLE 1.  DENTRO ESPACIO ECONÓMICO EUROPEO •  NO es una TDI (art. 5.1. s RDLOPD). •  POSIBLE: A) Cesión de datos B)  Prestación de servicios - Encargado de tratamiento (art. 12 LOPD, arts. 20-22

RLOPD)

•  RÉGIMEN: EXIGENCIAS: LOPD ↔ Directiva 95/46/CE

# No habiendo transferencia internacional no existe este problema


23

2.5.5. NIVEL ADECUADO DE PROTECCIÓN •  SI TDI. •  INCLUYE: A.  DECISIÓN DE ADECUACIÓN DE LA COMISIÓN EUROPEA Suiza, Argentina, Guernsey, Man, Jersey, Islas Feroe, Canadá, Israel, Andorra, Israel y Uriguay https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php + B. EEUU: Safe Harbor. Vid. http://www.export.gov/safeharbor/ y listado: https://safeharbor.export.gov/list.aspx Ejemplos: Microsoft, Amazon, Google…


24

RÉGIMEN: -  Solo es precisa la comunicación de las TID en la notificación del fichero.

-  NO necesaria autorización

-  Y las exigencia derivadas de la Cesión o encargado de tratamiento (ET):

Si ET será necesario suscribir un contrato de prestación de servicios conforme a la LOPD. Decisión 2000/520/CE


25

2.5.6. ESTADOS QUE NO PROPORCIONAN NIVEL ADECUADO DE PROTECCIÓN •  SI TDI •  Si autorización Director AEPD. •  Opciones: A.  Que el responsable solicite autorización. Los contratos celebrados según las “Las cláusulas

contractuales tipo para la TID a los encargados del tratamiento establecidos en terceros países”, adoptadas por la Comisión Europea en su Decisión 2010/87/UE, ofrecen garantías adecuadas.

•  En el caso de multinacionales: Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR).

B. Que el proveedor de Cloud haya obtenido la autorización para TID a subencargados establecidos en terceros países basada en cláusulas contractuales en las que se autoricen servicios susceptibles de subcontratación (p. ej “hosting”...) y pueda conocer en cualquier momento la identidad de las empresas subcontratadas y, si se encuentran en países que no ofrezcan garantías adecuadas, en qué países operan. Relación de autorizaciones concedidas: https://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/index-ides-idphp.php


26

¿QUÉ TENEMOS QUE COMPROBAR?: 1.  Saber si nos encontramos ante una TID. 2.  En función de la tipología de TID cumples los requisitos

exigidos a la misma.


27

2.6. INFRACCIONES Y SANCIONES RELACIONADAS Algunas infracciones y sanciones* previstas: •  LEVE: Transmisión de datos a ET sin cumplir deberes formales (contrato). Multa de

900 a 40.000 euros. •  GRAVE: Incumplimiento deber de seguridad. De 40.001 a 300.000 euros •  MUY GRAVE: TID a países que no proporcionen un nivel de protección equiparable

sin autorización. Multa de 300.001 a 600.000 euros.

* Sólo sanciones económicas en el ámbito privado

3. HACIA DONDE VAMOS

28

A tener en cuenta: 1. Informe del GRUPO DE TRABAJO DEL ARTÍCULO 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf 2. Borrador de Reglamento Europeo de Protección de Datos http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF 3. Opinión del supervisor europeo de protección de datos http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf


29

Algunas consideraciones del SUPERVISOR EUROPEO DE PROTECCIÓN

DE DATOS (SEPD). Informe de 16 de Noviembre de 2012 Mejoras que contempla la propuesta de NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS para el cloud: 1.  Ampliación ámbito territorial. Ampliación puede ayudar a incluir al cloud 2.  Un proveedor puede ser considerado RF. + “condiciones”. 3.  Aumento de responsabilidad y rendición de cuentas. Ej. Privacy by

design, notificaciones violaciones de seguridad … 4.  Flexibilización TID. 5.  Refuerzo cooperación autoridades de control.


30

Algunas de las MEJORAS ADICIONALES QUE PROPONE EL SEPD para el cloud: 1.  Mejora redacción ámbito territorial. Clarificar oferta de bienes y

servicios dirigidos a titulares en EEE. 2.  Clarificación concepto TI. 3.  Aclarar en qué condiciones se puede acceder por autoridades

policiales a datos fuera de la EEE. 4.  Apuesta por los códigos de conducta de la industria y aprobados por

las autoridades de control. 5.  Otras….

4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN

31

1.  CLOUD Y COMPETITIVIDAD # La nube evidencia que las diferencias de la legislación puede dificultar la competitividad # Los problemas se deben en parte a la diferente regulación de EEE/otros paises. # También se deben a la amalgama interna de leyes en EEE. ¿PUEDE SER EL NUEVO REPD PARTE DE LA SOLUCIÓN? .

4. ALGUNAS CONCLUSIONES Y TEMAS PARA EL DEBATE/REFLEXIÓN

32

2. CLOUD Y EQUILIBRIO ENTRE PRIVACIDAD/SEGURIDAD (policial) # Es necesario buscar el equilibrio entre privacidad y seguridad “policial”. # De nuevo hay diferencias evidentes entre EEE/otros paises # Esas diferencias también pueden condicionar la elección o no de ciertos proveedores de cloud .

4. ALGUNAS NOTAS PARA EL DEBATE/REFLEXIÓN

33

3. CLOUD Y LOS DESEQUILIBRIOS CLIENTE-PROVEEDOR

# En el cloud existe un desequilibrio evidente entre la mayoría de clientes y algunos proveedores # Los Estados pueden proteger en el cloud legisland. No se puede dejar sólo en manos contratos disponibles


34

4.  CLOUD Y RESPONSABILIDAD

# Se puede legislar y atar contractualmente la responsabilidad pero hay un problema de ejecución ¿ES LA UBICUIDAD (la posibilidad de que el cliente demande donde quiera) UNA SOLUCIÓN EN PARTE” PARA EXIGIR RESPONSABILIDAD? .


35

COMO CONCLUSIÓN:

•  UN ANÁLISIS DE RIESGOS DEL PROVEEDOR DEL CLOUD NO ASEGURA NADA

+ •  LA MEJORA DE LA LEGISLACIÓN EUROPEA NO ASEGURA NADA (EN

SUPUESTOS GLOBALES)

+ •  UN BUEN CONTRATO NO ELIMINA EL RIESGO

= PERO TODO ELLO HACE QUE EL NIVEL DE RIESGO RESIDUAL DISMINUYA … Si cloudicamos que lo hagamos con análisis de riesgos no a ciegas …

FINAL

http://www.linkedin.com/in/eduardchavelI [email protected]

@eduardchaveli

Gracias