Ayuntamientos y servicios de computación en la nube. Cumplir con la LOPD

662px-Cloud_computing_svgSon muchos los ayuntamientos que se plantean contratar los servicios de un gestor de computación en la nube o cloud computing. En el post de hoy os queremos dar las claves que deben tener en cuenta estos servicios para cumplir con las obligaciones que establece la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

A la hora de contratar el servicio se deben tener en cuenta una serie de factores con el objetivo de que estos servicios de cloud computing cumplan con la legalidad y aseguren la confidencialidad de los datos y se haga un tratamiento de ellos conforme a la Ley.

Es muy importante entre otros aspectos que la contratación contemple:

  • La evaluación de los datos que se van a subir a la nube. Si los datos que se almacenan son considerados de carácter personal y sensible, debemos pedir un nivel de seguridad más alto con el fin de que no puedan quedar expuestos.
  • La seguridad del gestor de la nube. Hemos de asegurarnos que se trata de un servicio de computación en la nube con garantías de seguridad, que posee servidores de calidad, protegidos para posibles ataques informáticos, que cumplen con la legislación de protección de datos, que no cede los datos a terceros sin consentimiento, en definitiva que no tiene fallos de seguridad. El ayuntamiento podrá pedir una auditoría de la seguridad del servicio.
  • El cumplimiento de la LOPD. En este caso debe firmarse un contrato acorde a la legislación, que remarque que los ayuntamientos o administraciones públicas son los dueños de los datos y el proveedor del servicio será el encargado de su tratamiento. Además, debe aclararse qué sucederá con los mismos una vez finalizada la relación contractual. Debe establecerse que los datos serán destruidos o devueltos y en ningún caso el proveedor de la nube podrá hacer uso de ellos ni cederlos a terceros sin consentimiento.
  • Uso de los datos por terceros. En caso de que el prestador del servicio realice para el desarrollo de su actividad la subcontratación de otros servicios que puedan tener acceso a estos datos y a su correspondiente tratamiento, este uso debe aceptarse por parte de las administraciones y deberá contemplarse en el contrato. Además, la empresa subcontratada deberá firmar un contrato donde se establezca su obligación de cumplir con la LOPD.
  • Localización de los datos. Si los datos están localizados fuera del Espacio Económico Europeo habrá que solicitar a la Agencia Española de Protección de Datos (AEPD) la transferencia de los datos.
  • Portabilidad de los datos. También es extremadamente relevante que el prestador del servicio facilite la portabilidad de los datos, con el fin de que no se vean expuestos en caso de cambiar de proveedor. Debe concretarse y asegurarse la destrucción de los datos por parte del proveedor una vez que haya terminado el contrato.

Además de estos aspectos, los ayuntamientos deben exigir en la prestación del servicio que se garantice el principio de cooperación, para facilitar el ejercicio de derechos ARCO por parte de los ciudadanos.

Estos son solo algunos aspectos fundamentales que debe cumplir la contratación de servicios de computación en la nube. Pero hay otros factores específicos de la legislación de las administraciones públicas que deben atenderse. Desde Legitec os podemos asesorar en todos estos aspectos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.