El cloud compunting aporta muchas ventajas a las empresas: facilita la intercomunicación, favorece el desarrollo de la actividad laboral en cualquier lugar del mundo y reduce costes. De ahí su reciente popularidad y la razón de que muchas empresas se hayan decidido adoptar este modelo de negocio. Sin embargo, el hecho de que los datos estén alojados en servidores fuera de nuestras oficinas entraña algunos riesgos, como la pérdida de información o el acceso indebido a la misma por personal no autorizado. Para Lopdgest ello implica que sea necesaria la incorporación de medidas de seguridad técnicas específicas que garanticen la integridad y confidencialidad de los datos, ya que muchas aplicaciones web pueden estar ubicadas en servidores extranjeros.
Según Leopoldo Mallo, director general de Lopdgest “debemos ser conscientes de que nos encontramos ante una tecnología que presenta innumerables ventajas para el desarrollo empresarial dentro de una organización, siempre y cuando se incorporen las medidas de seguridad técnicas pertinentes para garantizar la integridad y confidencialidad de la información”.
En España la normativa específica cuyo objetivo es proteger y regular el tratamiento de datos de es la ya conocida Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.
En este sentido se prevé una serie de medidas de seguridad, tanto técnicas como organizativas, con el objeto de velar por la seguridad de los datos de carácter personal, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como, por ejemplo, el establecimiento de sistemas de identificación y autenticación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información, es decir, evitando así un acceso indebido por personal no autorizado al efecto; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o por ejemplo el establecimiento de cifrados en la información especialmente sensible cuando se proceda a su transmisión a través de redes públicas, velando así por su integridad.
Asimismo, se recoge la obligación de que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad asignado, en función del tipo de datos objeto de tratamiento.
Estas medidas son especialmente relevantes en los servicios en ‘la nube’. Dada la propia naturaleza de este tipo de servicios, es muy probable que nos encontremos ante una Transferencia Internacional de Datos, ya que muchas aplicaciones web se acabarán alojando en servidores extranjeros. El Movimiento Internacional de Datos, viene regulado en la normativa en materia de Protección de Datos, y concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos, en la cual se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Así mismo, también se recoge la obligación de cumplimiento de una serie de requisitos tales como, el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.