El pasado día 26 de abril tuvo lugar la 5ª Sesión abierta de la Agencia Española de Protección de Datos en la que se presentaron dos trabajos, uno sobre la computación en la nube y otro sobre la regulación de las cookies.
Concretamente, en relación con el primero de ellos, se anunció la publicación de dos documentos que nos gustaría comentar porque, al analizarlos, hemos comprobado cómo el uso de un sistema de etiquetado de la seguridad ayuda a cumplir con la legislación en materia de protección de datos. En concreto, los dos documentos presentados fueron los siguientes:
Nos ha parecido interesante comentarlos puesto que en ellos, al margen de otros elementos se destaca, como uno de los riesgos de la computación en la nube, la falta de transparencia, algo que como sabéis es uno de los argumentos sobre los que se fundamenta el modelo de calificación que proponemos desde leet security (la calificación o etiquetado de la seguridad de los servicios TIC). Concretamente en el documento de la Agencia se pueden leer afirmaciones que podíamos haber escrito nosotros mismos como, por ejemplo, "es el prestador el que conoce todos los detalles del servicio que ofrece" o "si este [el proveedor] no da una información clara, precisa y completa [...], se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados".
Por eso, una de las recomendaciones de la Agencia a los potenciales clientes es que comparen "las características ofrecidas por varios proveedores, no sólo en términos económicos sino también en relación con los contenidos de la prestación y las garantías de calidad y cumplimiento legal que cada proveedor proporciona", algo obvio pero, ¿cómo se puede comparar entre servicios cuando no existe una forma común de "medir" las medidas de seguridad entre los proveedores? Como ya hemos comentado en alguna ocasión anterior, quizás la posibilidad de comparación, sea una de las mayores fortalezas ofrecidas por nuestra propuesta de calificación, ya que nuestro sistema es, básicamente eso, un sistema de medición sobre el que cliente y proveedor se ponen de acuerdo (más que una medida mínima exigida por nosotros).
Por otro lado, la guía también proporciona una lista de cuestiones que el cliente debe realizar antes de subir su información a la nube. Nos detendremos sobre aquellas que son más relevantes desde nuestro punto de vista:
En definitiva, vemos cómo el hecho de pedirle una calificación a nuestro proveedor nos simplifica la circunstancia de cumplir con la normativa en materia de protección de datos.