A estas alturas nadie lo duda, las nuevas tecnologías están orientadas a hacernos la vida más fácil. En el mundo empresarial este paradigma se traduce en conceptos de mejora de los procesos productivos, reducción de costes, optimización de gestión organizativa o ahorro de tiempo. La famosa cloud o nube es una de esas herramientas que están ganando peso en la rutina de las empresas. Permite compartir información entre los trabajadores de forma fácil y directa, pero ¿cómo se reparten las responsabilidades para garantizar la protección de datos en este nuevo recurso?
La seguridad de la información en la nube es, ahora, una preocupación para las empresas y por lo tanto una de las consultas más presentes en las consultorías de protección de datos. En muchas ocasiones los datos que se migran a la nube son de carácter personal, por lo que la empresa que contrata el servicio debe asegurarse de que siempre esté garantizada la protección de los datos.
La empresa es, en todo momento, el responsable del tratamiento de la información que se aloja en la nube. Por otra parte, el proveedor del servicio cloud es el encargado del tratamiento de dichos datos y deberá estar identificado en el documento de seguridad de la empresa y cumplir con el resto de legislación aplicable en materia de protección de datos personales.
Puede suceder que el proveedor de la nube tenga su sede en la Unión Europea pero fuera de España, en ese caso deberá sujetarse a la legislación del país dónde se realiza el tratamiento. Pero si el proveedor del servicio cloud procede de un país extranjero no perteneciente a la Unión Europea la situación es distinta. En ese caso el traspaso de los datos a la nube se realizará como una transferencia internacional de datos, una operación sobre la que la empresa deberá notificar en forma de inscripción de fichero previamente a la Agencia Española de Protección de Datos. Para ello el responsable del fichero debe firmar un contrato con la empresa que provee el servicio de cloud y que reúna todas las exigencias y obligaciones que marca la Ley Orgánica de Protección de Datos para estos casos. De lo contrario se estará ante un incumplimiento e infracción de la LOPD.
