Uso del Cloud Computing por Abogados y Protección de Datos
Recientemente El Consejo General de la Abogacía Española y la Agencia Española de Protección de Datos han presentado un informe sobre la “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal”. El Cloud Computing o nube, es un modelo a la carta para la asignación y el consumo de computación en internet (aplicaciones, información e infraestructura compuesta por reservas de recursos de computación, redes, información y almacenamiento). Sus ventajas, la fácil instalación, implementación y desmantelamiento.
Hay diversos tipos de nubes:
• Públicas: son manejadas por terceras partes, y los trabajos de muchos clientes pueden ser mezclados en los servidores, los sistemas de almacenamiento, y otra infraestructura dentro de la nube.
• Privadas: manejadas por un solo cliente. Son propietarios del servidor, red y disco y pueden decidir los usuarios autorizados para utilizar la infraestructura.
• Comunitaria: compartida por varias organizaciones.
• Híbrida: combina los modelos de nubes públicas y privadas.
El cumplimiento de la legislación de protección de datos es un aspecto esencial a la hora de contratar servicios Cloud por parte de un despacho de abogados, cuya posición jurídica es la de responsable del tratamiento, pues le corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre la finalidad, el contenido y sobre su modalidad. El prestador de los servicios de la nube es un encargado del tratamiento, es decir, es la persona física o jurídica, pública o privada u órgano administrativo que solo o conjuntamente con otros, trata los datos personales por cuenta del responsable del tratamiento.
En este marco, el contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia. En este contrato se debe establecer expresamente que el proveedor de servicios Cloud, únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas, de conformidad con lo establecido en el artículo 12 L.O.P.D. El Despacho de Abogados deberá velar porque el prestador de servicios cumpla la normativa española de protección de datos personales. Este aspecto de la ley aplicable al tratamiento de los datos personales no es disponible para las partes del contrato, que no podrán pactar la aplicación de una normativa distinta, ni excluir la competencia de la AEPD o de las Agencias o Autoridades autonómicas competentes.
Es probable que los datos no se almacenen en territorio español, en estos casos es preciso tener en cuenta que no se pueden realizar transferencias internacionales de datos a países que no dispongan de un nivel adecuado de protección, salvo que se obtenga, previa la aportación de garantías adecuadas, la autorización del Director de la AEPD.
Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica para salvaguardar la información de los clientes. Este derecho-deber impone a los despachos de abogados una diligencia cualificada sobre la observancia por el proveedor de servicios Cloud de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos personales, documentos y actuaciones amparadas en el secreto profesional.
Los requerimientos de seguridad esenciales son los siguientes:
– Intercambio de información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
– El proveedor de servicios Cloud debe garantizar la conservación de los datos mediante la realización de copias de seguridad periódicas.
– Debe establecer mecanismos seguros de autenticación para el acceso a la información por parte de los abogados y en su caso, por los clientes del despacho.
– Los datos almacenados se deben cifrar.
– Se debe acordar un procedimiento de recuperación y migración de los datos a la terminación del contrato de prestación de servicios. Así como el mecanismo de borrado, una vez transferidos los datos por el proveedor.
– Registro de accesos a datos especialmente sensibles.
– Si el despacho de abogados no puede verificar las medidas de seguridad del proveedor, se deben contemplar garantías adicionales (auditoría por un tercero independiente acreditado, etc.).
– Si se producen incidencias de seguridad que afecten a los datos personales, el proveedor debe poner este hecho en conocimiento del despacho de abogados, junto con las medidas adoptadas para corregir daños producidos y evitar que se reproduzcan los incidentes.