Disquetes, CDs, discos duros, dispositivos USB …etc. Hablamos de recursos utilizados, durante años, por parte de entidades y organizaciones para el almacenamiento de la información generada como consecuencia de su actividad. Todos estos recursos tenían un gran límite en común: el espacio.
Es, por tanto, lógico que, como consecuencia de la evolución tecnológica, los sistemas de almacenamiento se hayan ido perfeccionando y ajustando a las necesidades de las entidades en cada momento. Por ello, desde hace ya unos años, venimos asistiendo al fenómeno Cloud Computing o almacenamiento en nube.
Pero ¿a qué nos referimos realmente cuando hablamos de este nuevo concepto de almacenamiento? Es un tipo de servicio, utilizado también por aplicaciones, que permite almacenar todo tipo de contenido en un servidor conectado a la red, siendo la principal ventaja de estos sistemas, la flexibilidad que ofrecen que, en la práctica, se traduce en la posibilidad de acceder a la información almacenada desde cualquier lugar, con cualquier dispositivo, todos los días del año.
Consciente de la importancia de estos nuevos sistemas de almacenamiento, y su incuestionable impacto en la protección de datos de carácter personal, la Agencia Española de Protección de Datos (en adelante, la AEPD) publicó dos guías que son, ahora, objeto de análisis en el presente artículo:
– Guía para clientes que contraten servicios de cloud computing que, a pesar de haber sido publicada hace ya unos años, fue actualizada por parte de la AEPD tras la plena exigibilidad del Reglamento Europeo de Protección de Datos (en adelante RGPD), en mayo de 2018.
– Informe sobre la utilización, por parte de profesores y alumnos, de aplicaciones que almacenan datos en nube, con sistemas ajenos a las plataformas educativas y que surge como resultado de una inspección sectorial que, de oficio, inicia la AEPD sobre servicios de cloud computing en el sector educativo hace unos años.
Es importante recalcar, en este punto, que en la actualidad, no existe un único sistema de almacenamiento en nube. Así, podemos distinguir:
– Nube pública. Cuando el proveedor proporciona sus recursos de forma abierta. Entre sus ventajas más destacadas se encuentra la rapidez para utilizar sus servicios de almacenamiento gratuito.
– Nube privada. En aquellos casos en los que el responsable del tratamiento “compra” un espacio y realiza su propia gestión y administración de la información. Servicio que puede implementarse por la misma entidad que la utiliza o bien, externalizarse con una entidad tercera que actuará bajo supervisión y en función de las necesidades del responsable del tratamiento. Aquí, sus principales ventajas radican en la mayor seguridad que ofrecen así como en el control que, sobre la información, tiene la empresa.
– Otros modelos de nubes, más flexibles y que permiten una mejor adaptación a las necesidades específicas de cada empresa. Así, entre los modelos nos encontramos con soluciones como:
– Nubes híbridas en las que se ofrecen ciertos servicios de forma pública y otros de forma privada.
– Nubes comunitarias cuando dichos servicios son compartidos en una comunidad cerrada.
– Nubes combinadas aquellas que tienen disponibilidad de combinar dos o más nubes sean privadas o públicas que pueden ser administradas por diferentes usuarios o proveedores.
Accesibilidad, disponibilidad y comodidad. Está claro que el uso de servicios de almacenamiento en nube ofrece un gran número de ventajas a los responsables de tratamiento en el desarrollo de su actividad. Sin embargo, no podemos dejar a un lado los riesgos que inciden en la seguridad de los datos de carácter personal almacenados en dichos sistemas. Dichos riesgos recaen, principalmente, en:
1. La falta transparencia en la información sobre las condiciones en las que se presta el servicio. Al ser el proveedor quién conoce todos los detalles del servicio que ofrece, será fundamental que nos facilite información sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos. A menor información obtenida, mayor será la dificultad para el responsable de evaluar los riesgos y establecer los controles adecuados.
2. La falta de control que el responsable puede llegar a tener sobre el uso y gestión de los datos personales como consecuencia de las dificultades que puede encontrarse a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido, los obstáculos a una gestión efectiva del tratamiento …etc.
¿Cómo se pueden afrontar, entonces, estos riesgos?
Mediante una adecuada elección del prestador de servicios. Recordamos, a este respecto, la diligencia debida del responsable del tratamiento en la elección, únicamente, de encargados de tratamiento (considerando 81 del RGPD) que ofrezcan suficientes garantías en el cumplimiento de unos mínimos de seguridad en materia de protección de datos. Así, el responsable del tratamiento deberá:
– Comprobar que la información que ofrece el proveedor sobre el tratamiento de los datos almacenados en el sistema, cumple con los requisitos que, la propia AEPD recoge en su informe sobre la utilización de aplicaciones con almacenamiento en nube: la identidad y dirección del responsable, las finalidades para las que serán utilizados los datos, las posibles comunicaciones de datos a terceros, los derechos que asisten a los titulares de los datos, la ubicación de los datos y sus periodos de conservación y las medidas de seguridad facilitadas por la aplicación.
– Llevar a cabo un análisis de la ubicación de los datos. A la hora de decantarse por el uso de un servicio u otro, uno de los condicionantes a analizar, desde el punto de vista de la protección de datos, es la ubicación física de los proveedores del servicio pues las garantías exigibles para su protección son distintas según los países en que se encuentren. No obstante, independientemente del lugar donde los datos de los interesados se encuentren, siempre han de poder garantizarse unos mínimos de seguridad. Por ello, siempre será preferible trabajar con proveedores que se encuentren dentro del Espacio Económico Europeo o que, por el contrario, sean países que de una u otra forma garanticen un nivel adecuado de protección de los datos de carácter personal y que así haya sido acordado por la AEPD o por la Comisión Europea. Los países que cumplen con estas garantías se encuentran listados por la Agencia aquí.
– Revisión de que las medidas de seguridad, técnicas y organizativas con las que cuenta el servicio y/o aplicación, cumplen con los mínimos requeridos por la normativa vigente en materia de protección de datos.
A mayor abundamiento, y en el caso de que la contratación radique en una aplicación, será recomendable ponerla a prueba de manera previa a su uso con el fin de comprobar que esta cumple con unos mínimos de seguridad. Sobre la posibilidad de hacer uso de datos reales en las pruebas de las aplicaciones ya se pronunciaba la normativa anteriormente vigente en materia de protección de datos. Así, se establecía la recomendación de que (…) las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad (…). Recomendación que, a la vista de lo que recogen las publicaciones analizadas, sigue estando vigente por parte de la AEPD.
La justificación es sencilla. No podemos olvidar que, en última instancia, se están realizando pruebas del uso de una aplicación de la que, todavía, no tenemos unas garantías de seguridad totales, por lo que no podremos permitir que se produzca algún error que pueda afectar a cualquier dimensión de la seguridad, confidencialidad, disponibilidad y sobre todo de la integridad de los datos.
Asimismo, será recomendable documentar el análisis previo al uso de la aplicación, dejando constancia de aquellos aspectos que han sido analizados así como de los resultados obtenidos.
Todas estas recomendaciones adquieren una especial relevancia en el sector educativo no universitario al ser, este, una representación de uno de los colectivos más vulnerables de nuestra sociedad, cómo son los menores de edad y uno de los sectores en el que más se hace uso de aplicaciones con almacenamiento en nube. Por ello, además de las pautas básicas a seguir ante la elección de un servicio y/o aplicación con almacenamiento en nube, y que hemos descrito anteriormente, los centros escolares deberán tener en cuenta:
– La necesidad de ofrecer a los padres o tutores una información concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo acerca del comienzo del uso de la tecnología en las aulas, así como de las Apps que traten datos personales de los alumnos, su funcionalidad y su almacenamiento.
– Que las aplicaciones y/o tecnologías que se utilicen deben permitir el control, por parte de los tutores o profesores, de los contenidos subidos por los menores, en especial los multimedia.
– Que es recomendable establecer programas informativos de concienciación dirigidos a profesores y alumnos, sobre la importancia del uso correcto de estas aplicaciones o tecnologías desde el punto de vista de protección de datos.
– Que se debe evitar subir datos sensibles a dichos sistemas.
– Que deberá ser preferente el uso de las plataformas educativas para la comunicación entre familias y alumnos con el centro.
No obstante, es importante recordar que las recomendaciones de seguridad plasmadas, siguen más allá del mero análisis en la elección de un proveedor que ofrezca servicios y/o aplicaciones con almacenamiento en nube sino que, durante el tiempo que hagamos uso de estos sistemas, será necesario, en palabras de la propia AEPD, y recogidas en su Guía sobre privacidad y seguridad en internet, que el responsable:
– Se asegure de que el acceso a la nube se lleve a cabo bajo el protocolo HTTPS.
– Configure, correctamente, las opciones de privacidad y seguridad del servicio.
– Cifre los datos más confidenciales antes de subirlos a la nube.
– Cree una contraseña robusta que dificulte, lo más posible, los accesos no autorizados.
– Realice copias de seguridad de la información, en soportes alternativos.
– Corrobore la identidad del destinatario en el momento en que se proceda a envíos de información a un tercero.
