Cumplir con la LOPD si usamos servicios cloud

El pasado día 26 de abril tuvo lugar la 5ª Sesión abierta de la Agencia Española de Protección de Datos en la que se presentaron dos trabajos, uno sobre la computación en la nube y otro sobre la regulación de las cookies.

Concretamente, en relación con el primero de ellos, se anunció la publicación de dos documentos que nos gustaría comentar porque, al analizarlos, hemos comprobado cómo el uso de un sistema de etiquetado de la seguridad  ayuda a cumplir con la legislación en materia de protección de datos. En concreto, los dos documentos presentados fueron los siguientes:

• La "Guía para clientes que contraten servicios de Cloud Computing" (pdf), y
• Las "Orientaciones para prestadores de servicios de Cloud Computing" (pdf)

Nos ha parecido interesante comentarlos puesto que en ellos, al margen de otros elementos se destaca, como uno de los riesgos de la computación en la nube, la falta de transparencia, algo que como sabéis es uno de los argumentos sobre los que se fundamenta el modelo de calificación que proponemos desde leet security (la calificación o etiquetado de la seguridad de los servicios TIC). Concretamente en el documento de la Agencia se pueden leer afirmaciones que podíamos haber escrito nosotros mismos como, por ejemplo, "es el prestador el que conoce todos los detalles del servicio que ofrece" o "si este [el proveedor] no da una información clara, precisa y completa [...], se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados".

Por eso, una de las recomendaciones de la Agencia a los potenciales clientes es que comparen "las características ofrecidas por varios proveedores, no sólo en términos económicos sino también en relación con los contenidos de la prestación y las garantías de calidad y cumplimiento legal que cada proveedor proporciona", algo obvio pero, ¿cómo se puede comparar entre servicios cuando no existe una forma común de "medir" las medidas de seguridad entre los proveedores? Como ya hemos comentado en alguna ocasión anterior, quizás la posibilidad de comparación, sea una de las mayores fortalezas ofrecidas por nuestra propuesta de calificación, ya que nuestro sistema es, básicamente eso, un sistema de medición sobre el que cliente y proveedor se ponen de acuerdo (más que una medida mínima exigida por nosotros).

Por otro lado, la guía también proporciona una lista de cuestiones que el cliente debe realizar antes de subir su información a la nube. Nos detendremos sobre aquellas que son más relevantes desde nuestro punto de vista:

• "Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y garantiza" - Si se utiliza la calificación que proponemos, analizar la respuesta será muy sencilla puesto que el etiquetado que utilizamos marca con un signo '+' en la dimensión de la confidencialidad aquellos servicios que reúnen las medidas para tratar datos de carácter personal. De esta manera, la calificación D+ indica que el servicio puede tratar datos personales de nivel báscio, la calificación C+ que puede tratar de nivel medio y, finalmente, las calificaciones B+ y A+ pueden tratar datos de nivel alto.
• "Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos a los que es responsable" - Una de nuestras labores, como agencia de calificación, es verificar que el proveedor implementa las medidas adecuadas para que el servicio tenga en un determinado nivel, de forma que hagamos ese trabajo por los clientes (hacer una vez, usar varias).
• "El proveedor de cloud computing le acredita que dispone de una certificación de seguridad adecuada" - Este punto nos ha resultado muy interesante, ¿cuál? Ya hemos comentado recientemente lo que pasa con las certificaciones... Además una certificación implica cumplir unos niveles mínimos, pero esos niveles cambian en función del tipo de datos tratados.
• "Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará" y "Solicite información al proveedor de cloud sobre cómo se auditarán las medidas de seguridad" - Como ya hemos comentado, esa es una de las labores que realizamos como agencia de calificación con la ventaja adicional de que los requisitos que analizamos son públicos (enlace a la página de descarga de nuestra guía de calificación).
• "El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable" - Este aspecto, además de estar recogido en la guía forma parte de los compromisos del proveedor con la agencia, es decir, el notificar de los incidentes que podrían afectar al nivel de calificación. Por lo tanto, se ejerce una especie de doble control sobre el tema de las notificaciones.

En definitiva, vemos cómo el hecho de pedirle una calificación a nuestro proveedor nos simplifica la circunstancia de cumplir con la normativa en materia de protección de datos.