En la actualidad, la gestión y el almacenamiento de datos en la nube es una práctica muy habitual en las empresas debido a las múltiples ventajas que aporta tener alojada cierta información en la red. La inmediatez, la flexibilidad y la comodidad de compartir archivos, imágenes… con más personas son algunas de ellas.
Sin duda, todo son beneficios y mayor comodidad a la hora de tener acceso a la información y esto está provocando que cada vez más el servicio cloud se incorpore como herramienta de uso frecuente en todo tipo de empresas. Sin embargo, hay que ser cautelosos a la hora de tratar y alojar información y conocer muy bien cómo debemos llevarlo a cabo para no cometer ninguna práctica fuera de lo que dicta la normativa. Y es que, a pesar de que la norma cumple 14 años a final del 2014, son pocas las empresas que realmente conocen cuáles son las obligaciones y responsabilidades que tienen respecto a los tratamientos de datos que gestionan.
El conocimiento de las mismas respecto a esas obligaciones en el caso de gestionar datos y almacenarlos en la llamada “nube”, todavía es menor. Tanto es así que todavía piensan que en caso de incidencia, el mayor afectado y responsable es el proveedor del servicio y ellos en tanto en cuanto son Responsables de Fichero.
Al margen de ofertas más o menos afortunadas, algunos aspectos importantes a tener en cuenta a la hora de contratar un servicio de este tipo, serían los siguientes:
- ¿Conocemos la ubicación física de los datos? Algunos proveedores baratos disponen sus datacenter fuera del ámbito de la UE o no tienen acuerdos de puerto seguro, y es algo que hay que evitar.
- ¿Es conocida la estructura IT del proveedor? Si hay posibilidad, no estaría mal conocer al proveedor y sus instalaciones.
- ¿Nos garantiza el proveedor planes de contingencia? Fundamental conocer si el proveedor dispone de planes de contingencia adecuados y conforme a la norma.
- ¿Tenemos inventariada la información que va a almacenarse online? Es fundamental el análisis a la hora de decidir qué información vamos a gestionar online y los riesgos que asumimos.
- ¿Están definidas las responsabilidades de las partes? El acceso a datos por cuenta de terceros, debe estar reflejado en un contrato que regula el artículo 12 de la LOPD, donde se indica:
“Artículo 12. Acceso a datos por cuenta de terceros
(…)
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
(…)”
Visto lo anterior, los argumentos comerciales no han de ser el elemento decisorio último a la hora de contratar un servicio de este tipo. Antes de eso, las consideraciones legales a la hora de elegir proveedor, o incluso decidir sobre si necesitamos un servicio así, son importantes.
Si estás interesado en conocer más sobre la normativa referente al tratamiento de datos que se gestionan desde la empresa o bien profundizar en otras cuestiones sobre la Ley Orgánica de Protección de Datos en el Instituto Internacional de Marketing te ofrecemos la posibilidad de formarte como experto en LOPD a través de nuestro Curso en Tecnología Web y LOPD Técnico Superior.
Muy buen post!
Lo cierto es que son muchas las empresas que usan soluciones gratuitas como Dropbox para almacenar información corporativa. A pesar de que los costes son nulos y son buena herramienta de compartición y colaboración, tienen agujeros gordos a nivel legal y de seguridad.
Un saludo!