Privacidad en la nube pública: la ISO/IEC 27018.

Privacidad en la nube: la ISO/IEC 27018

Privacidad en la nube: la ISO/IEC 27018

La protección de datos personales en la nube viene siendo objeto de atención por los abogados en España desde hace años, siendo buena muestra de ello que el Consejo General de la Abogacía Española (CGAE) y la Agencia Española de Protección de Datos (AEPD) publicasen, en 2012, un informe sobre la utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal. Desde entonces se han producido algunas novedades importantes a nivel internacional en relación con la nube pública, entre las que cabe destacar la publicación de la ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

Dada su relevancia, a continuación se incluyen algunas preguntas y respuestas sobre la ISO/IEC 27018, que es el primer estándar internacional sobre privacidad en los servicios de nube pública.

  1. ¿Qué es la ISO/IEC 27018?

La norma ISO/IEC 27018 es el primer estándar internacional, promovido por la industria, sobre privacidad en los servicios de nube pública. Publicada en 2014 por la Organización Internacional de Estandarización (en inglés International Organization for Standardization, ISO), es el resultado de un análisis a nivel internacional de varias leyes de protección de datos personales así como de las guías y otros documentos publicados por diferentes autoridades de protección de datos personales, especialmente de la Unión Europea. Por lo tanto, al considerar la protección de datos personales en los servicios de nube pública, la ISO/IEC 27018 es un alto estándar a seguir. Además, es un instrumento que, en caso de que sea necesario, podrá adecuarse fácilmente en el futuro ya que es también un ejemplo de autorregulación que presta atención a cuestiones clave en materia de protección de datos personales.

  1. Con respecto al tratamiento de datos personales, ¿en qué casos se aplica la ISO/IEC 27018?

Desde el punto de vista del tratamiento de datos personales, la ISO/IEC 27018 atiende al esquema en el que el cliente de los servicios de nube pública es responsable del tratamiento y el prestador de servicios de nube pública es encargado del tratamiento. Es así que, cuando el prestador de servicios de nube pública trata datos personales, la ISO/IEC 27018 puede servir como referente a ambas partes, responsable y encargado del tratamiento, para desarrollar el contrato u otro instrumento jurídico necesario conforme a la normativa aplicable sobre protección de datos personales.

De entre los diferentes modelos de despliegue de la nube (privada, pública, comunitaria e híbrida), la ISO/IEC 27018 se refiere a la nube pública, dando así respuesta a las cuestiones que se plantean en relación con la misma desde el punto de vista del cumplimiento en materia de protección de datos personales.

  1. ¿Cuáles son los controles clave?

Entre los controles que prevé, en su anexo, la ISO/IEC 27018 se encuentra uno que refuerza, en su caso, la prohibición prevista en muchas leyes nacionales de que el encargado del tratamiento pueda tratar los datos personales al margen de las instrucciones dadas por el responsable del tratamiento. Se trata, en particular, del control relativo a que el prestador de servicios de nube, como encargado del tratamiento, no pueda tratar los datos personales a los que tenga acceso con fines de publicidad, salvo que haya obtenido la autorización necesaria para ello. Otros controles relevantes se refieren, en particular, a la transparencia y responsabilidad (“accountability”) en el tratamiento de los datos personales por el encargado, incluso relativos a la transferencia internacional de datos.

  1. ¿A quién está dirigida la ISO/IEC 27018?

Quien tiene que adoptar la ISO/IEC 27018 es el prestador de servicios de nube pública. No obstante, se trata de un instrumento adecuado para los clientes de servicios de nube pública, e incluso consultores o auditores jurídicos, ya que les puede servir como guía para revisar y, en su caso, pedir información al prestador de servicios de nube sobre las características de sus servicios y las medidas adoptadas, en su caso, en materia de protección de datos personales. Además, puede ser también una guía para las autoridades de protección de datos personales y otras autoridades reguladoras con competencias en materia de protección de datos personales.

  1. ¿Hay prestadores de servicios de nube que ya han adoptado la ISO/IEC 27018?

Sí, ya hay prestadores de servicios de nube que han adoptado la ISO/IEC 27018. Al respecto, cabe mencionar que el primero fue Microsoft, seguido por Dropbox. Además, sería deseable que otros prestadores de servicios de nube también adoptasen esta norma internacional ya que en la práctica puede facilitar el cumplimiento en materia de protección de datos personales y, además, permite generar confianza en dichos servicios.

Por último, cabe señalar que además de la privacidad con la ISO/IEC 27018, en breve podría publicarse también la ISO/IEC 27017 sobre seguridad en los servicios de nube, basada en la ISO/IEC 27002. Por tanto, habrá que estar atentos a los avances sobre privacidad y seguridad que pueden producirse en relación con los servicios de nube.

Miguel Recio

Abogado y Máster en Protección de Datos, Transparencia y Acceso a la Información

Web: http://www.globaldpc.com

Linkedin: https://es.linkedin.com/pub/miguel-recio/5/105/968

Twitter: @MRecioCloud

 

COMMENTS (1)

Leave a Comment