Impacto de la protección de datos en los sistemas de información: nube privada

En el artículo anterior hablábamos de la importancia de que una empresa cumpla con los requisitos de seguridad de nivel alto en protección de datos (LOPD y su Reglamento) para todos los ficheros de los que es responsable. Como decíamos, hay muchas formas de llegar a ello, nos vamos a centrar en la nube privada.

Como veríamos anteriormente, en el caso de utilizar Dropbox, al establecer la política de privacidad, nos obligaría a informar a la Agencia Española de Protección de Datos sobre la puesta a disposición de los datos de carácter personal en manos de terceros (en este caso Dropbox y otros subcontratados por Dropbox), y de las autoridades del país en cuestión. En definitiva no tenemos un control directo total de quién tiene ni dónde, además de nosotros, los datos de nuestros clientes, ni se firma un contrato de encargado de tratamiento, como reza el artículo 12 de la LOPD, al respecto.

Como ejemplo de nube privada tomamos el caso de OwnCloud. En este caso necesitamos un servidor en propiedad o en hosting en el que instalamos esta aplicación de código abierto, y por tanto gratuita. Desde el punto de vista del usuario, el funcionamiento sería el mismo, o muy similar, al de la nube pública de Dropbox. Desde el punto de vista de sistemas, la instalación y el mantenimiento, superarían los costes del caso anterior.

En cuanto a calidad y seguridad, sería inferior en cumplimiento de certificaciones externas (ISO 27001 y otras, que si cumple Dropbox) y habría que recurrir a configuraciones posteriores para cumplir mínimos legales de seguridad, como requisitos de contraseñas, cambio periódico de las mismas, así como el mantenimiento de un registro de accesos para los ficheros de nivel de seguridad alto.

La implementación de las medidas de seguridad de nivel alto en protección de datos para todos los ficheros de nuestra plataforma de nube privada sería, por tanto, más compleja e implicaría costes de implementación y mantenimiento posterior.

La principal ventaja del uso de la nube privada, se produce en términos de cumplimiento normativo y de control legal en protección de datos. El uso de una nube privada implica el conocimiento de la ubicación física de los datos de carácter personal y por lo tanto, por un lado, no habría que informar a la Agencia Española de Protección de Datos sobre la existencia de transferencias internacionales de datos, y por otro lado, tendríamos el control total de los datos. De esta forma, cualquier contingencia legal que pudiera producirse tendría lugar en España, lo que aporta seguridad jurídica a los propietarios de los datos de carácter personal que gestionamos.

Al optar por la opción de nube privada, cuando el responsable del fichero no transfiere los datos a un tercero, es importante establecer un cumplimiento exhaustivo de los derechos de los usuarios y propietarios de la información en todos los términos legales.

En definitiva se trata de dos modelos de nube, y/o sus combinaciones en nube híbrida, que cumplen las normas y facilitan enormemente la labor de las empresas a la hora de cumplir de forma eficaz y eficiente con los requerimientos normativos de la protección de datos de carácter personal.

Luis Fernández de Heredia
Director TIC