La Oficina de Protección de Datos tiene que confrontarse con la cuestión sobre si y como los servicios cloud pueden ser utilizados en conformidad con las expectativas de protección de datos, sobre todo si tienen que ser archivados o tratados también datos personales.

Si bien a estas preguntas sea posible contestar solo en relación a la situación especifica en cada los casos, la Oficina de Protección de Datos ha puesto junto sobre su sitio web las preguntas y los requisitos más importantes sobre la protección de los servicios cloud que tienen que ser tomados en cuenta cuando se evalúa o se selecciona un particular sistema. Además, la Oficina de Protección de Datos será feliz de proporcionar asesoramientos necesarios a los sistemas.

Servicio cloud

La Oficina de Protección de Datos tiene que confrontarse con la cuestión si y como los sistemas cloud pueden ser utilizados en conformidad con las normativas de protección de datos, sobre todo si tienen que ser archivados y tratados también datos personales.

Desde un punto de vista legal, tanto el Reglamento General de Protección de datos (GDPR) que la ley de Protección de Datos en Liechtenstein (DSG) son generalmente formulados de manera neutra desde el punto de vista tecnológico. Esto significa que las reglas incluida se aplican a cualquiera tratamiento sistemático o (parcialmente) automatizado de datos personales, independientemente desde la tecnología utilizada para hacerlo. No hay reglas específica para los servicios cloud. Al contrario, esto significa que la ley de protección de datos no prohíbe los servicios cloud, pero establece las reglas que tienen que ser observadas.

Desde un punto de partida técnico, tiene que ser notado que varias formas de servicios cloud (“Infrastructure as a Service” (IaaS), “Platform as a Service” (PaaS), “Software as a Service” (SaaS) ecc. .) y modelos  (“Publico”, “Privado”, “hibrido” ecc.). además, los proveedores ofrecen una amplia variedad de modelos de licencia y de contratos de servicio.

Debido al marco jurídico y técnico mencionado, la Oficina de Protección de Datos no puede dejar declaraciones o recomendaciones generalmente aplicables sobre cada de los sistemas, proveedores o modelos de licencia. Para evaluar la conformidad a la protección de datos de una solución especifica, es siempre necesario considerar la situación especifica en cada caso.  Por esto, las preguntas y los requisitos más importantes sobre la protección de datos para los servicios cloud que tienen que ser tomados en consideración durante la evaluación o la sección de un particular sistema tendrían que ser resumidos.

1. Principios de ley de protección de datos (artículo 5 de GDPR)

Los principios de protección de datos mencionados en el artículo 5 del GDPR tienen que ser respectado cada vez que se tratan datos personales. Incluyen en particular:

• Legalidad del tratamiento
• Elaboración en buena fe
• Transparencia del tratamiento
• Predisposición al tratamiento
• Minimización de datos
• Exactitud de datos
• Límite de archivación de datos
• Integridad y confidencialidad
• Responsabilidad del responsable del tratamiento

Antes que cualquier tratamiento de datos, tanto en el cloud que donde quiere, es importante asegurarse que los principios arriba mencionados sean respectados o que sean adoptadas a medidas técnicas o organizativas para garantizarlos.

2. Contrato de tratamiento de ordenes (artículo 28 del GDPR)

En la mayor parte de casos, los proveedores de servicios cloud se califican como responsable del tratamiento con arreglo al artículo 28 del gDPR. Es necesario concluir un contrato de protección de datos.

3. Medidas técnicas o organizativas (Artículo 32 del GDPR)

Los servicios cloud tienen que ser proyectados y configurados de manera que la seguridad de datos personales arriba tratados sea adecuada al riesgo de los interesados, garantizada en cada momento en la máxima medida posible. Esto que puede ser hecho con medidas organizativas y desde otro con medidas técnicas. Cuando se eligen medidas adecuadas, no solo el estado del arte, gastos de implementación, tipos, ámbito, las circunstancias y las finalidades del tratamiento de datos planificado tendrían que ser tomados en consideración, sino también la probabilidad de realización y la gravedad del riesgo para las personas afectadas. Tanto la personal responsable de la ley de protección de datos que el responsable del tratamiento, en este caso el proveedor de servicios cloud, están obligados a hacerlo.

Para lo que se refiere a servicios cloud, estas medidas idóneas pueden incluir, por ejemplo:

• La seudonización y la encriptación de datos que se tratan en el cloud,
• Una transferencia de datos encriptadas al cloud (por ejemplo, mediante VPN).
• La capacidad del proveedor de garantizar la confidencialidad, integridad, la disponibilidad y la resiliencia del servicio cloud o de datos tratados en esto a largo plazo,
• comprobar la capacidad del proveedor para restablecer rápidamente la disponibilidad de los datos y acceder a ellos en caso de accidente físico o técnico,
• valora un control de acceso y permisos optimizado (IAM) para el acceso / acceso a los datos en la nube,
• gestión optimizada de contraseñas,
• la configuración correcta de los ajustes de seguridad pertinentes,
• mejor registro y supervisión de la seguridad,
• lleve a cabo un procedimiento de revisión, evaluación y evaluación periódica de la eficacia de dichas medidas,
• Etcétera

En otras consideraciones que esconden desde un punto de vista técnico y organizativo en la selección y configuración de un determinado servicio cloud son la planificación especifica de la licencia y del contrato de servicio, la elección de la ubicación del server, los aspectos de la transferencia internacional de los datos.

Nota: la Agencia de la Unión Europea para la seguridad informática (ENISA) ha publicado una guía a la seguridad del cloud para las pequeñas y las medianas empresas. La directa explica tanto las oportunidades que los riesgos relevantes por la seguridad y surgiere las posibles medidas para reducir el riesgo.

Existen también áreas del derecho que prevén el tratamiento y la archivación de datos exclusivamente en Alemania, por ejemplo, artículo 27, letra d) Ley sobre el deber de diligencia. En cada caso, aquí tiene que ser evitado la transferencia internacional de derecho mediante cloud con un server situado al extranjero.

4. evaluación de imapcto sobre la protección de datos (artículo 35 del GDPR)

Si es probable que el tratamiento de datos personales de un servicio cloud implique un riesgo elevado para los interesados debido a la tipología de la portabilidad, de las circunstancias y de las finalidades del tratamiento, tiene que ser realizada antes una evaluación de impacto sobre la protección de datos con arreglo al artículo 35 del GDPR.

Esto también se aplica si, por ejemplo, las categorías especiales de datos personales con arreglo al artículo 9 del GDPR o las relativas a condenas penales y delitos con arreglo al artículo 10 del GDPR deben tratarse en gran medida en la nube.

5. Transferencia internacional de datos (artículo 44 ss. GDPR)

Si el servidor en el que se ejecuta el servicio en la nube seleccionado se encuentra en un Estado miembro de la UE/ EEE, la transferencia de datos allí es en gran parte sin problemas. Sin embargo, si se encuentra fuera de la zona UE/ EEE en un tercer país, también deberán observarse las normas establecidas en el artículo 44 y siguientes GDPR.

En un tercer país en el que la Comisión de la UE ha adoptado una decisión de adecuación con arreglo al artículo 45 del GDPR (por ejemplo, Suiza), la transferencia de datos es en gran medida inocua. En todos los demás casos, deben garantizarse garantías adecuadas con arreglo al artículo 46 f. GDPR para garantizar un nivel de protección de datos equivalente a las normas aplicables en ese país. En cualquier caso, deberá informarse previamente a los interesados de la transmisión de los datos y de la decisión de adecuación o de las garantías adecuadas elegidas.

Nota: Con la sentencia del Tribunal de Justicia de las Comunidades Europeas, Schrems II, de 16 de julio de 2020, se declaró inválida la decisión de adecuación con los Estados Unidos, el escudo de la privacidad entre la UE y los Estados Unidos. Una transferencia de datos a los Estados Unidos no es por lo tanto más fácil posible, lo que debe tenerse en cuenta al elegir la ubicación del servidor, especialmente de proveedores estadounidenses.

Transferencia internacional de datos

Los datos personales no sólo se transmiten dentro del área de la UE/ EEE, sino también de terceros países u organizaciones internacionales aplican normas estrictas de conformidad con el Reglamento General de Protección de Datos (GDPR).

Solo de esta manera se evitará que el elevado nivel de protección se vea socavado por la transferencia de datos a un tercer país no sujeto al GDPR. Por lo tanto, los datos personales solo pueden transmitirse a un destinatario en un tercer país si – además del cumplimiento de todas las demás disposiciones del GDPR – el tercer país o el mismo destinatario garantiza un nivel de protección de datos comparable al de la UE/ Zona del EEE (artículo 44 GDPR).

Para ello, se requiere un certificado de adecuación de la Comisión de la UE («terceros países seguros») u otras garantías adecuadas para la protección de datos y los derechos de los interesados («otros terceros países inseguros»). Las herramientas más conocidas de este tipo son:

• Decisión de adecuación de la Comisión de la UE (artículo 45 GDPR)
• Escudo de privacidad de la UE-Estados Unidos (un m 07/16/2020 explicado por el Tribunal de Justicia como no válido)
• Cláusulas estándar de protección de datos de la UE (artículo 46 GDPR)
• Reglas corporativas vinculantes (BCR) (artículo 47 GDPR)

Además, el art. 46 GDPR enumera otras garantías adecuadas (ej. Normas de conducta aprobadas, certificaciones), que, sin embargo, han pasado a ser menos importantes en la práctica.

Por último, el GDPR reconoce algunas excepciones en algunos casos de transferencia de datos a terceros países cuando no existe una decisión de adecuación ni otras garantías adecuadas. Por ejemplo, un traslado limitado a un caso individual puede ocurrir en determinadas circunstancias y condiciones, por ejemplo si el interesado ha dado su consentimiento, si es necesario para la ejecución de un contrato, si existe un interés público importante o si es necesario hacer valer derechos legales (art. 49 GDPR).

Las disposiciones del GDPR para las transferencias de datos a terceros países se aplicarán a toda transferencia de datos personales, con independencia de que la realice un responsable o un encargado del tratamiento, el hecho de que el destinatario sea un organismo público o privado, con independencia de que los datos se transmitan o se divulguen mediante derechos de acceso, y las normas se aplicarán también a cualquier transferencia posterior de datos personales por el destinatario a otro tercer país.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI LIECHTENSTEIN