—31 enero 2010 / Casacochecurro.com Las empresas incorporan cada vez más el Cloud Computing a la prestación de sus servicios para facilitar la intercomunicación y favorecer el desarrollo laboral en cualquier lugar del mundo. Para LOPDGEST, la Solución definitiva a la Ley de Protección de Datos, esta tecnología, que está totalmente ‘en boga', presenta algunos riesgos que pueden surgir en caso de que se haga un mal uso de la herramienta o no se apliquen las medidas de seguridad pertinentes que permitan una protección extremada de la información, por lo que deberá tenerse especial consideración en cuanto a la pérdida de información, la falta de integridad, o el acceso indebido a la misma por personal no autorizado al efecto.
Según Leopoldo Mallo, director general de LOPDGEST, "debemos ser conscientes de que nos encontramos ante una tecnología que presenta innumerables ventajas para el desarrollo empresarial dentro de una organización, siempre y cuando se incorporen las medidas de seguridad técnicas pertinentes para garantizar la integridad y confidencialidad de la información".
En España existe una normativa específica cuyo objetivo es proteger y regular el tratamiento de datos de carácter personal y la información empresarial que mediante la utilización de estas aplicaciones web, se alojan en un servidor común a nivel mundial como es Internet. Ésta, es la ya conocida normativa en materia de Protección de Datos, concretamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD (RDLOPD).
Concretamente el artículo 85 del RDLOPD, dispone expresamente que "las medidas exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local", conforme a las exigencias recogidas en el reglamento.
Información sensible
En este sentido se prevé una serie de medidas de seguridad, tanto técnicas como organizativas, con el objeto de velar por la seguridad de los datos de carácter personal, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como, por ejemplo, el establecimiento de sistemas de identificación y autenticación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información, es decir, evitando así un acceso indebido por personal no autorizado al efecto; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o por ejemplo el establecimiento de cifrados en la información especialmente sensible cuando se proceda a su transmisión a través de redes públicas, velando así por su integridad.
Asimismo, se recoge la obligación de que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad asignado, en función del tipo de datos objeto de tratamiento.
Es conveniente tener en cuenta que, dada la propia naturaleza de este tipo de servicios, es muy probable que nos encontremos ante una Transferencia Internacional de Datos, ya que muchas aplicaciones web se acabarán alojando en servidores extranjeros. El Movimiento Internacional de Datos, viene regulado en la normativa en materia de Protección de Datos, y concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos, en la cual se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Así mismo, también se recoge la obligación de cumplimiento de una serie de requisitos tales como, el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.
