Cloud en EUA ¿cumple la LOPD?

Los servicios de cloud y alojamiento de datos personales fuera del ámbito nacional, es una solución por la que cada vez más optan desarrolladores y empresas, esencialmente por una cuestión de costes, especialmente en el caso de EUA. Antes de decidirnos por un proveedor de cloud, conviene hacernos algunas preguntas para saber si el mismo cumple o no la normativa de protección de datos. Ahí van:

¿Voy a alojar datos personales en el cloud? 

Esta es la primera pregunta a hacerse y si la respuesta es sí, la consecuencia directa es que nos es de aplicación la LOPD. Por datos personales entenderemos no solo cosas tan obvias como el nombre, sino también el email o fotografías. Así cualquier proveedor de cloud que pueda alojar este tipo de datos, implicará la aplicación inmediata de la LOPD.

Servicios cloud
Cloud

Mi proveedor está en España ¿qué hago? 

En este caso es necesario considerar al proveedor del servicio cloud, como un encargado del tratamiento, lo que implica que deberá firmarnos un contrato de tratamiento de datos por cuenta de terceros, de acuerdo a la LOPD, en el que se deberá incluir esencialmente: el servicio que se contrata y que tiene como consecuencia el acceso a nuestros datos, las medidas de seguridad a implementar y si se prevén subcontrataciones del servicio (cosa muy habitual en el mundo del cloud).

Mi proveedor está en la UE ¿qué hago? 

Si tu proveedor está en algun estado miembro de la UE, no deberás hacer nada distinto a lo que debe hacerse si estuviera en España. Esto mismo vale si tu proveedor está en Islandia, Noruega, Liechstenstein. Andorra, Argentina, Canada, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay y (con unos requisitos especiales) EUA.

Mi proveedor está en EUA ¿qué hago? 

En este supuesto debes comprobar que tu proveedor está dado de alta en la lista de empresas adheridas al Protocolo de Puerto Seguro. En caso que así sea podrás contratar el servicio con los mismos requisitos que si la empresa estuviera en España, en caso contrario deberás aplicar alguna de las soluciones expuestas a continuación.

Mi proveedor no está en la lista de paises indicados ni cumple con el Protocolo de Puerto Seguro ¿qué hago? 

En este caso tienes tres opciones:

  • Solicita el consentimiento a los titulares de los datos para alojarlos en el proveedor deseado.
  • Solicita la autorización a la AEPD para contratar el proveedor.
  • Cambia de proveedor.

Asegurarse que tu proveedor de cloud cumple con la LOPD es un aspecto importante, puesto que en caso de alojar datos en un país que no cumple con unos estándares mínimos, puede suponer una de las infracciones muy graves que prevé la LOPD (multas de hasta 600.000 €). A todo ello debemos añadir para concluir, que a pesar que en la mayoría de casos los contratos de prestación de servicios de cloud, no son negociables, esto no implica, según la AEPD que el cliente esté exhonerado de cumplir con la LOPD, ya que deberá comprobar que ese proveedor cumple y en caso que determine que no lo hace, contratar con otro. Así lo determinó la AEPD en la Guía para clientes de Cloud que editó en su día.

 

 

La legalidad de tu empresa,
en las mejores manos


692 14 05 71