Como vimos en el capítulo anterior tenemos una primera distinción respecto al tipo de datos que queramos procesar en el Cloud: por un lado, los datos personales los cuales, debido a la protección de la que gozan, requieren de la adopción de unas medidas las cuales pueden ser incompatibles con su tratamiento en Cloud, y por otro lado los datos no personales cuya limitación de tratamiento en Cloud deriva únicamente de la propia estrategia corporativa en la protección de sus secretos comerciales.
Mientras que en las medidas corporativas de seguridad corresponderá su definición a cada empresa, las medidas legislativas corresponden a todas. Vamos en este capítulo a adentrarnos en la exigencia de dichas medidas.
Medidas de protección aplicables a datos personales
El nuevo Reglamento General de Protección de Datos de la UE entró en vigor el pasado 25 de mayo. Este nuevo corpus legislativo introduce nuevos requisitos sobre lo establecido en la Directiva que sustituye y la Ley Orgánica española. No obstante, las empresas tienen de plazo para ir adecuándose a los nuevos requisitos hasta el 25 de mayo de 2018 por lo que no entraremos en este momento en ello, aunque si más adelante.
Quitando pues algunas novedades que introduce el Reglamento las obligaciones actuales del Responsable de ficheros se pueden resumir en:
- La inscripción del fichero: Todo fichero, según la definición del artículo 3.d, que contenga datos personales debe ser inscrito de forma previa a su utilización conforme señala el artículo 26 de la Ley Orgánica.
- El principio de calidad de los datos: Todo dato de carácter personal debe ser adecuado, pertinente y no excesivo para la finalidad determinada, explícita y legítima para la que se ha recogido (Artículo 4.1), no podrá usarse para finalidades incompatibles con aquellas por las que se hubiera recogido (Artículo 4.2) debe ser exacto, completo y actual (Artículo 4.3), necesario para la finalidad para la que ha sido recabado y sólo se mantendrá durante el período estricto que se requiera (Artículo 4.5), igualmente debe haberse recogido lícitamente (Artículo 4.7)
- El principio de seguridad de los datos de acuerdo a nivel de protección requerido: Recogido en el artículo 9 de la Ley exige al Responsable del fichero y al encargado del tratamiento la adopción de las medidas de índole técnica y organizativas necesarias que eviten su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas mínimas de seguridad se establecen reglamentariamente en el R.D. 1720/2007 clasificando los datos en tres niveles: alto, medio y bajo y dotando de mayor protección a mayor nivel.
- El deber de información: Recogido en el artículo 5 de la Ley Orgánica obliga al Responsable del fichero a informar al interesado de la existencia del fichero, del carácter de su obtención y sus consecuencias, de la posibilidad de ejercitar los derechos ARCO y de la identidad y dirección del Responsable del tratamiento o su representante en España.
- El deber de secreto: Recogido en el artículo 10 obliga a cualquier persona que intervenga en el tratamiento de los datos a guardar secreto profesional sobre su contenido.
- La obtención del consentimiento del interesado con carácter general para su tratamiento (Artículo 6).
- El deber de colaboración con la (AGPD) Entidad encargada de supervisar la protección (Artículo 37)
Las anteriores obligaciones son responsabilidad del Responsable del fichero y tal responsabilidad no es delegable, lo que quiere decir que aun cuando externalice la explotación de los datos bien subcontratando en sus instalaciones su transformación, bien en instalaciones externas, incluido el Cloud, seguirá siendo responsable del cumplimiento de las medidas de protección.
Medidas de protección aplicables a datos no personales
Salvo que exista una norma específica aplicable al sector de actividad de la empresa los datos de carácter no personal no requieren de protección a nivel legislativo pero sí requerirán de protección a nivel corporativo y esto es así porque para cualquier empresa resulta necesario mantener un cierto nivel de confidencialidad sobre datos que, o bien le otorgan una ventaja competitiva, o bien pueden otorgarlo a la competencia si los conociera. Así datos financieros, secretos industriales y comerciales, prácticas corporativas y muchos otros pueden exigir un cierto nivel de confidencialidad.
Nuestro ordenamiento jurídico ampara la protección de estos datos, primero a través de la reciente Directiva 2016/943 de la UE y de forma más directa mediante la legislación mercantil, destacando el artículo 13 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, y lo previsto en el Código Penal en su Libro II, Título X, Capítulo I, sobre el descubrimiento y revelación de secretos, pero evidentemente esta protección es una última ratio y el daño que puede causar a la corporación la difusión de información confidencial debe preverse e intentar evitarse mediante la adopción de las medidas de seguridad necesarias.
Adopción, mantenimiento y verificación de las medidas de seguridad establecidas
En un entorno propio la adopción, mantenimiento y verificación de las medidas de seguridad que se establezcan, ya sean legislativas o corporativas, exigirá la adopción de metodologías de calidad que sean capaces de establecer los requisitos, imponer su establecimiento y medir su cumplimiento.
En un entorno externo, Cloud o no, dependerá de la información y los acuerdos contractuales que tenga con el proveedor la realización de las anteriores actividades. Veremos esto en el siguiente capítulo.
Si queréis comentarnos cualquier duda podéis hacerlo en info@kabel.es.
