Professional Documents
Culture Documents
para
PRESTADORES de
SERVICIOS
de
Cloud
AT&T
C omputing
ORIENTACIONES AT&T
para
PRESTADORES de
SERVICIOS
de
Cloud
C omputing
INTRODUCCIN
La Agenda Digital del Gobierno apuesta por potenciar las industrias de futuro con el fin de que
Espaa se mantenga en la vanguardia de la innovacin y participe en las iniciativas que permitan
detectar tendencias de futuro, generar empresas en dichos sectores e impulsar el talento y el
emprendimiento.
En este sentido destaca como una lnea especfica de actuacin la potenciacin y uso del cloud
computing como un mecanismo clave para garantizar la competitividad de nuestras empresas,
especialmente las pymes, as como facilitar su utilizacin por parte de la Administracin.
En este marco, no cabe olvidar que los servicios de cloud computing tienen implicaciones espec-
ficas para la proteccin de los datos personales de los que es responsable el cliente que contrata
dichos servicios. Esas implicaciones exigen una valoracin del mejor modo de incorporar las ga-
rantas contempladas en la normativa de proteccin de datos, modulndolas para adaptarlas a las
caractersticas especficas de los mismos.
La Agencia Espaola de Proteccin de Datos ha asumido la iniciativa de elaborar unas orientacio-
nes que faciliten, didcticamente, su cumplimiento.
Para ello ha elaborado dos documentos dirigidos, respectivamente, a los clientes que contraten
servicios de cloud computing y a los proveedores que los prestan.
El primer documento, articulado como una gua prctica, es ms extenso y detallado dado el
mayor desconocimiento que pueden tener en esta materia los clientes, especialmente las pymes
y los profesionales.
T&TA
4
El presente documento, dirigido a los prestadores de estos servicios, es ms sinttico tratando de
evitar reiteraciones con el anterior, pero ofreciendo informacin complementaria mediante remi-
siones a aquel.
Las orientaciones tienen como objetivo reiterar, especialmente a las grandes corporaciones que
ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesin a sus potenciales
clientes, que deben adaptarse al rgimen de garantas que la normativa de proteccin de datos
personales atribuye a los ciudadanos.
Con ello, la Agencia pretende impulsar una poltica preventiva para el cumplimiento de la ley ha-
ciendo hincapi en que los clientes de servicios de cloud computing tengan en cuenta, a la hora
de seleccionar a su proveedor, a aquellos cuya oferta minimice los riesgos de incumplimiento.
T&TA
5
Por tanto, si los clientes/responsables del tratamiento de los datos personales estn suje-
tos a la ley espaola, la relacin jurdica con el prestador de servicios estar sometida a la Ley
Orgnica15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal (LOPD) y sus
normas de desarrollo. La determinacin de la ley aplicable es, asimismo, una cuestin que no es
disponible para las partes.
T&TA
6
GARANTAS QUE DEBEN INCORPORARSE AL CONTRATO
La normativa de proteccin de datos personales exige en los casos de prestacin de servicios la
celebracin de un contrato cuyo contenido permita acreditar la incorporacin de las garantas
exigidas por el artculo 12 de la LOPD.
En el caso de que intervengan terceras empresas subcontratadas para la prestacin del servicio
que se ofrece, la LOPD exige adoptar garantas adicionales (que han sido ratificadas por la Senten-
cia del Tribunal Supremo de 15 de julio de 2010, F.D. Dcimo).
Estas garantas se refieren a los siguientes aspectos:
La identificacin de los servicios y la empresa a subcontratar informando de ello al cliente
(incluido el pas en el que desarrolla sus servicios si estn previstas transferencias internacio-
nales de datos).
Que el cliente pueda tomar decisiones como consecuencia de la intervencin de
subcontratistas.
La celebracin de un contrato entre el prestador de servicios de cloud computing y los sub-
contratistas con garantas equivalentes a las incluidas en el contrato con el cliente.
No obstante, dadas las caractersticas especificas de los servicios de cloud computing, las garantas
exigibles pueden modularse para adaptarlas a los requisitos de la LOPD (para conocer algunos ejem-
plos sobre esta cuestin puede accederse a la Gua para clientes que contraten servicios de cloud
computing, disponible en www.agpd.es. Las soluciones que se recogen deben tomarse como meros
ejemplos, pudiendo adoptarse otras soluciones que ofrezcan las mismas garantas).
Estas garantas tambin han de proporcionarlas aquellas compaas que actan como partners de
otros proveedores de cloud computing, en cualquiera de las figuras de reseller, agregadores de
servicios de cloud, cloud builders, proveedores de aplicaciones, etc., y que proporcionan servicios
contratando directamente con los clientes.
La portabilidad, es decir, la posibilidad efectiva de que los datos personales puedan ser devueltos
al cliente o que ste pueda indicar que se transfieran a un nuevo proveedor de servicios que haya
seleccionado, en el momento en que finalice la prestacin del mismo, es una garanta que ha de
tenerse especialmente en cuenta.
Por ello, el contrato debe incluir soluciones especficas para garantizar esa portabilidad, adaptadas
a las distintas modalidades de cloud y al tipo de servicios que se ofrezcan.
T&TA
7
Las garantas sobre la portabilidad en materia de proteccin de datos personales son independien-
tes de las que se deriven del trmino de la prestacin de servicios conforme al derecho privado, si
bien las condiciones contractuales en este mbito no debern imposibilitar aquella.
T&TA
8
En este sentido, cabe indicar que la Ley de Contratos del Sector Pblico, Real Decreto Legislativo
3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del
Sector Pblico, incluye en su Disposicin Adicional Vigsima Sexta las garantas aplicables a la
prestacin de servicios que impliquen el tratamiento de datos personales, incluidos los supuestos
de subcontratacin. Si bien esta regulacin reproduce bsicamente las obligaciones de la LOPD
que se han descrito.
Una segunda norma que se debe considerar es la ley 11/2007, de 22 de junio, de Acceso elec-
trnico de los Ciudadanos a los Servicios Pblicos y el Real Decreto 1671/2009 que la desarrolla
parcialmente.
Asimismo, es necesario ofrecer servicios adaptados al Esquema Nacional de Seguridad y al Esque-
ma Nacional de Interoperabilidad (Reales Decreto 3/2010 y 4/2010, de 8 de enero).
Finalmente, de existir la posibilidad de que, al realizarse transferencias internacionales de datos,
autoridades de terceros pases puedan requerir accesos a la informacin, ha de informarse sobre
esta posibilidad y sobre las opciones que la Administracin que contrate los servicios puede adop-
tar sobre ella (para mayor informacin sobre las especificidades en las Administraciones pbli-
cas, puede verse la Gua para clientes que contraten servicios de cloud computing, disponible en
www.agpd.es).
Para concluir este documento, la Agencia Espaola de Proteccin de Datos recomienda a los pres-
tadores de servicios de cloud computing tener en cuenta los siguientes puntos:
Revisar sus contratos teniendo en cuenta los criterios recogidos en este documento.
Adaptarlos para que los cumplan.
Informar a sus clientes, si no los cumplen, de la necesidad de adoptar estas garantas.
La responsabilidad por incumplimiento de la ley puede exigirse al cliente y tambin al pres-
tador de servicios.
T&TA
9
www.agpd.es