El cloud computing, las aplicaciones SAAS y la protección de datos

Lunes, 24 Noviembre 2014 09:51
Publicado en Blog
Escrito por  Visto 2607 veces
Valora este artículo
(0 votos)

Desde hace unos años por motivos de comodidad y de reducciones de costes es habitual que las distintas empresas estemos migrando nuestro entorno a aplicaciones en la nube o lo que se denomina Software as a Service (SaaS), esto conlleva entender que ahora no estamos adquiriendo una licencia de una aplicación sino que estamos alquilando la prestación de un servicio que no solo conlleva el software sino además, su alojamiento, mantenimiento, actualización...

Desde el punto de vista de la privacidad y la protección de datos este nuevo paradigma conlleva entender que los datos que carguemos en esa aplicación ya no van a estar bajo nuestro control, sino que van a ser protegidos por un tercero, así se le dará acceso tanto a los datos de nuestros usuarios internos -el personal de nuestra empresa que utiliza la aplicación- como de nuestros clientes que incluimos en nuestro Software, así como toda la información delicada que cargamos en la plataforma.

Debido a lo anterior es necesario aplicar a todo el uso de la plataforma los principios que se recogen en la normativa sobre Protección de Datos, tanto desde nuestro proveedor a nosotros como clientes, como de nosotros a nuestros clientes o usuarios, así es recomendable buscar aplicaciones en que el rija el principio de Privacy by design, además de que el DPO o Data Privacy Officer, realice una auditoría interna de la aplicación para valorar sus medidas de seguridad y que tipo de datos es recomendable subir a la plataforma.

Una vez realizado lo anterior será necesario tener un contrato por escrito con el proveedor que recoja lo estipulado en dicha normativa para los encargados de tratamiento, así el proveedor debería atender a las medidas de seguridad exigidas por el cliente, y este revisar que terceros hay involucrados en la prestación del servicio atendiendo a las cadenas de subcontrataciones y transferencia internacionales.

Tenemos que tener en cuenta que muchas de estas aplicaciones se contratan mediante un contrato de adhesión o unas condiciones generales de contratación, por lo que introducir modificaciones en las mismas será prácticamente imposible, por tanto es importante tener en cuenta los siguientes aspectos:

  • Definir el ámbito y alcance del contrato en función de los datos que vayamos a incorporar a la plataforma, siempre será aplicable a dichos tratamientos la ley del domicilio del responsable del fichero, por tanto se le tendrán que aplicar las medidas de seguridad correspondientes a la legislación de éste en función del nivel de los datos.

-    Que un proveedor no quiera aplicar o desconozca que datos hay dentro de su aplicación no implica que no tenga que aplicar las medidas relativas a ese tipo de datos.

-    Esto en ciertos casos nos puede hacer que tener introducir medidas de seguridad adicionales a las que presta el proveedor de servicios.

  • Revisar los aspectos que afectan a las subcontrataciones y a las cadenas de transferencias internacionales, algunos proveedores lo cumplen facilitando un listado de subcontratistas.
  • Tener en cuenta que a la finalización del contrato o en caso de resolución anticipada se tendrán que devolver los datos que contiene la plataforma de forma que sea interoperable con otros sistemas (lo que se denomina portabilidad de los datos) y que el proveedor, al pasar un tiempo prudencial, deberá proceder a su destrucción y que nos certifique que lo ha realizado.
Inicia sesión para enviar comentarios

Modificado por última vez en Jueves, 27 Noviembre 2014 22:23

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

 nuevocompliance

Somos un equipo pluridisciplinar de profesionales abogados, economistas, informáticos, auditores, especializados en la organización empresarial y el cumplimiento normativo....

sigpacnou

El Centro de Privacidad SIGPAC es un entorno de trabajo y gestión documental basado en un software desarrollado por PRODAT para la gestión de empresas ...

prodatnou

El Sello de confianza electrónica de PRODAT es especialmente de utilidad para tod@s l@s usuari@s de internet y de todos los nuevos medios electrónicos ...  

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal