La insuficiente información en relación a cómo, dónde y por quién son los datos tratados o sub-tratados.
Los organismos públicos y las empresas privadas deben evaluar estos riesgos cuidadosamente al contratar los servicios de un proveedor de servicios de computación en nube.
El presente dictamen examina cuestiones relacionadas con:
La incertidumbre con respecto a la admisibilidad de la transferencia de datos personales a los proveedores establecidos fuera del EEE.
Una de las principales conclusiones del presente dictamen es que las empresas y las administraciones que deseen utilizar la computación en nube deben efectuar, como un primer paso, un análisis de riesgos completo y riguroso. Los proveedores en el EEE deben proporcionar al cliente toda la información necesaria para evaluar adecuadamente los pros y los contras de la adopción de tal servicio.
La seguridad, transparencia y seguridad jurídica para los clientes deberán ser los principales impulsores de la oferta de servicios de computación en nube.
El dictamen aborda las salvaguardias contractuales apropiadas estableciendo la condición de que todo contrato entre el cliente y el proveedor deberá ofrecer garantías suficientes en términos de medidas técnicas y de organización. También es importante la recomendación de que el cliente de servicios computación en nube deberá verificar si el proveedor de tales servicios puede garantizar la legalidad de las transferencias internacionales de datos.
En Julio de 2013, BSI y CSA (Cloud Security Alliance) han anunciado la finalización con éxito de las certificaciones piloto en el marco de la certificación abierta con Alibaba y el Gobierno de New Taipei City (NTCP).
El Marco de Certificación Abierto (OCF, Open Certification Framework) ha sido desarrollado por la CSA para ofrecer a los proveedores de la nube un sistema mundial de certificación de confianza. La Certificación STAR es uno de los componentes de la iniciativa OCF, y comprende una auditoría independiente "de tercera parte" sobre la base de la CCM (Cloud Control Matrix) - Matriz de Control del Cloud - y la ISO 27001.
La Certificación STAR ha sido desarrollada en colaboración entre BSI (British Standards Institution) y CSA .
La Certificación STAR es uno de los componentes del Marco de Certificación Abierto (OCF, Open Certification Framework) desarrollado por BSI y CSA. Si una organización cumple con los dos requisitos, BSI puede emitir dos certificados simultáneos: ISO 27001 y STAR.
El martes, 10 de diciembre de 2013 se publicó en el BOE número 295 la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno [2] , que en una de sus vertientes se refiere a Open Data por parte de las Administraciones del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, entre otras.
Asimismo, dado que el acceso a la información puede afectar de forma directa a la protección de los datos personales, la Ley aclara la relación entre ambos derechos estableciendo los mecanismos de equilibrio necesarios. Así, por un lado, en la medida en que la información afecte directamente a la organización o actividad pública del órgano prevalecerá el acceso, mientras que, por otro, se protegen -como no puede ser de otra manera- los datos que la normativa califica como especialmente protegidos, para cuyo acceso se requerirá, con carácter general, el consentimiento de su titular.
En el proyecto de Ley de transparencia, las disposiciones adicionales abordan diversas cuestiones como la aplicación de regulaciones especiales del derecho de acceso, la revisión y simplificación normativa -en el entendido de que también es un ejercicio de buen gobierno y una manifestación más de la transparencia el clarificar la normativa que está vigente y es de aplicación- y la colaboración entre el Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos en la determinación de criterios para la aplicación de los preceptos de la ley en lo relativo a la protección de datos personales.
2. Si la información solicitada contuviera datos especialmente protegidos a los que se refiere el apartado 2 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección dedatos de carácter personal, el accesoúnicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos especialmente protegidos a los que se refiere el apartado 3 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, o datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el accesosólo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de Ley.
4. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá elacceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada,en particular su derecho fundamental a la protección de datos de carácter personal.
Para la realización de la citada ponderación , el órgano tomará particularmente en consideración los siguientes criterios:
El Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos adoptarán conjuntamente los criterios de aplicación, en su ámbito de actuación, de las reglas contenidas en el artículo 15 de esta Ley, en particular en lo que respecta a la ponderación del interés público en el acceso a la información y la garantía de los derechos de los interesados cuyos datos se contuviesen en la misma, de conformidad con lo dispuesto en esta Ley y en la Ley Orgánica 15/1999, de 13 de diciembre.
Extractamos algunas de las reflexiones que aportó el director de la AEPD - José Luis Rodríguez Álvarez -, en su comparecencia en el Congreso de los Diputados el 23 de enero de 2013, [3] para hablar sobre el, por entonces, proyecto de Ley de transparencia,[6] quién afirma que considera necesaria la Ley de transparencia, aunque a su juicio, el derecho de transparencia y de acceso a la información limita con otros derechos, entre ellos el derecho a la protección de datos de carácter personal.
Para el director de la AEPD no hay limitación a la información si se disocian los datos de carácter personal, de modo que no sea posible identificar a las personas afectadas. Considera que esa fórmula, la disociación, debería ser la regla siempre que los datos personales no sean relevantes, y que este punto debería recogerse en el texto de la ley. (Como así ha sido en el artículo 14. Ésta entrevista le fue realizada en enero de éste año).
Para Rodríguez Álvarez, la relación entre la Ley de protección de datos y la de transparencia no ha de ser conflictiva ni resolverse siempre a favor de la protección de datos, sino que debe haber un ponderación razonada de cada caso que lleven a cabo órganos administrativos competentes.
Cree que la aprobación de este proyecto de Ley tendrá efectos positivos para la protección de datos, al impedir una práctica frecuente: la denegación de datos amparándose sin fundamento en la LOPD.
-
En primer lugar, enunció José Luis Rodríguez Álvarez, es un problema la redacción del primer párrafo del artículo 15.1. Según está redactado, explicó, da a entender que el acceso a la información pública que contenga datos de carácter personal se haría excepcionando, aparentemente, la LOPD. A su juicio, eso condiciona o altera el régimen de aplicación de la Ley Orgánica de Protección de Datos ( situación que no puede darse ante una ley de rango inferior).
-
En segundo lugar, el segundo párrafo del mismo artículo remite, a los interesados en documentos que contengan sus propios datos, a la LOPD (una normativa con contenido distinto y más limitado que la ley de transparencia). Es decir, que se crearían dos sistemas normativos, uno para quienes soliciten información que afecten a terceros y otro para quienes quieran acceder a información en que se vean afectados, siendo más restrictiva, paradójicamente, la normativa de este último caso.
Rodríguez Álvarez remata su exposición destacando que es muy adecuada la mención en la ley de la coordinación de criterios entre la AEPD y la Agencia Estatal de Transparencia [Véase la disposición adicional quinta].
Al responder, el director de la AEPD, sostiene que su aportación puede tener valor en lo relativo a la articulación entre transparencia y protección de datos, pero no se siente legitimado para tratar otros aspectos de la nueva ley.
Sobre la relación entre la Ley de Transparencia y la Ley de Protección de Datos afirma que es imposible predeterminar en un proyecto todos los elementos a considerar en caso de conflicto; y que revisando las regulaciones ya acreditadas se reduce finalmente a un criterio de ponderación, tomando en cuenta las circunstancias.
Comenta que la LOPD ya prevé que otra ley pueda determinar los supuestos en que se podrá ceder información, en consecuencia no es necesario tensar la articulación entre las dos normas y no ve necesario modificar la LOPD.
Sobre el estatuto jurídico de la ley, entiende que el derecho de acceso a la información debería ser un derecho fundamental contemplado a la hora de elaborar la constitución. Pero también existen a su juicio "serias dudas", respecto a cómo se elaboró la Constitución Española en su momento, de que el acceso a la información pueda considerarse un derecho fundamental.
Sugiere que podría vincularse a alguno de los derechos fundamentales reconocidos en aquella, pero independientemente de ello no considera que la protección de datos sea ni vaya a ser un obstáculo a la transparencia. Lo que sí remarca es que la ley de transparencia tiene que articular los mecanismos de acceso a la información y que, si se deniega este acceso en aras de la protección de datos, deberá hacerse justificadamente.
Respecto a la gestión en otros países de los problemas en ciertas peticiones de datos, señala que existen dos modelos:
-
Uno en el que es la Agencia de protección de Datos se hace cargo.
-
Otros países, en los que es una agencia independiente.
Afirma que corresponde al legislador elegir, pero que lo esencial es que se articule de manera coherente y consecuente.
La Información es un bien preciado, por lo que debemos tomar las debidas precauciones en su protección. La interconexión global a través de Internet ha multiplicado las amenazas.
El principal error es subestimar el riesgo o aplicar soluciones tipo "café para todos". Por ejemplo de qué sirve disponer del firewall tecnológicamente más avanzado del mundo, para proteger de las amenazas de Internet, si:
-
Quienes lo precisan van creando en él reglas sobre la marcha, cada vez que se necesitan implementar servicios nuevos, sin evaluar su interacción y sin auditorías periódicas.
-
Nunca se actualiza su firmware y consecuentemente se arrastran vulnerabilidades existentes desde el origen.
-
Los dispositivos y ordenadores portátiles se conectan alternativamente desde fuera de la empresa a Internet sin firewall y también desde dentro de la red segura empresarial cuando quizá ya están infectados con un troyano.
-
Existen otros routers o elementos de conectividad en la red local empresarial que, al no estar inventariados, no se encuentran bajo el paraguas de la seguridad perimetral.
- Neelie Kroes (Vice-President of the European Commission responsible for the Digital Agenda). "How to make Europe the world's safest online environment". 11 November 2013. European Commission.
"Dictamen 05/2012 sobre la computación en nube". 1 de Julio de 2012. WP196. 01037/12/ES. - [1] Grupo de protección de datos del artículo 29. Dirección General de Justicia de la Comisión Europea.
"Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno". Martes 10 de diciembre de 2013. - [2] BOE número 295. 12887.
"Vídeo dela comparecencia en el Congreso del director de la AEPD para informar en relación con el Proyecto de Ley de transparencia". 23 de enero de 2013. - [3] AEPD. Congreso de los Diputados.
"Estrategia de Ciberseguridad Nacional". 5 de diciembre 2013. - [4] Gobierno de España. Presidencia del Gobierno. Departamento de Seguridad Nacional. lamoncloa.gob.es
"Guía para la gestión de fuga de información". 30 de mayo de 2012. - INTECO. Ministerio de Industria, Energía y Turismo.
"Guía para entidades locales: cómo ahorrar costes y mejorar la productividad con Cloud Computing". 3 de enero de 2013. - INTECO. Ministerio de Industria, Energía y Turismo.
"El puesto del operador - Guía básica de protección de infraestructuras críticas". 14 de noviembre de 2013. - INTECO (CERT). CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
"Reflexiones sobre el futuro de la Privacidad en Europa - - [5] DPI. ISMS Forum Spain. II Edición del Estudio de la propuesta de Reglamento de Protección de Datos de la UE". Noviembre de 2013. Varios autores coordinados por Francisco Javier Carbayo y Carlos Alberto Saiz.
- [6] SENADO. X Legislatura. "Proyecto de Ley de transparencia, acceso a la información pública y buen gobierno". TEXTO REMITIDO POR EL CONGRESO DE LOS DIPUTADOS. 20 de septiembre de 2013. Boletín Oficial de las Cortes Generales número 236.