José Manuel Sanz

Tecnología, privacidad y otras cosas, que seguro solo me interesan a mi.

¿Cloud? si, si es necesario.

Hace unas semanas se publicaba un informe de una consultora de IT que destacaba que el 95% de las empresas ignoran cuales son las responsabilidades y obligaciones que tienen al respecto del almacenamiento y gestión de los datos que administra en la nube.

Lo sorprendente de este estudio, es el hecho de que la mayoría de los encuestados, considerase que el mayor afectado por una incidencia de servicios con respecto a la imagen sería el proveedor, cuando la norma determina muy claramente que el propietario de los datos es el Responsable del Fichero.

A la hora de seleccionar un proveedor para nuestros servicios cloud y el almacenamiento de datos, es conveniente tener en cuenta los siguientes aspectos:

  • ¿Donde se van a almacenar los datos? Es conveniente tener claro donde se van a almacenar físicamente los datos. Algunos proveedores baratos pueden tener sus datacenter fuera del ámbito de la Unión Europea o no tienen acuerdos de puerto seguro, con lo cual no pueden gestionar nuestros datos.
  • ¿Conocemos que estructura de IT tiene el proveedor? No estaría de más, si hay posibilidad, conocer de primera mano al proveedor. Ver sus instalaciones, distribución, etc. 
  • ¿Tiene el proveedor planes de contingencia consolidados? A la hora de externalizar nuestros datos, es necesario conocer si el proveedor tiene implantadas medidas de seguridad suficientes y planes de contingencia adecuados para proteger la información ante posibles desastres.
  • ¿Hemos hecho un análisis claro de la información que vamos a guardar online y su conveniencia? No toda la información debe o tiene porqué ser externalizada. Un buen análisis es fundamental a la hora de decidir que datos podemos gestionar online con un riesgo asumible o que información no debe salir de nuestros sistemas locales de ninguna manera.
  • ¿Están claramente definidas las responsabilidades de cada una de las partes? El acceso a datos por cuenta de terceros (precisamente la relación que se establece entre el proveedor y la empresa propietaria de los datos), debe estar reflejado en un contrato como el que establece el artículo 12 de la LOPD, donde se indica de forma expresa:

“Artículo 12. Acceso a datos por cuenta de terceros
(…)
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
(…)”

Como vemos, no hemos de dejarnos deslumbrar por los argumentos más o menos afortunados de los comerciales que nos presenten este tipo de servicio, ya que las consideraciones a la hora de elegir uno u otro proveedor, o incluso sobre la necesidad o no de disponer de un proveedor cloud, son muy importantes.

Jose Manuel Sanz

Consultor y formador LOPD, pulsador del botón de mi cámara de fotos, lector compulsivo, padre y algunas cosas más que me guardo para mi. Gandía (Valencia)

2 comentarios sobre «¿Cloud? si, si es necesario.»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Volver arriba