Portuguese (pdf)
Article in xml format
Article references
Automatic translation
Send this article by e-mail
Cited by SciELO 
Similars in
SciELO 
Permalink
1 INTRODUCCIÓN2
En la actualidad vivimos una revolución digital derivada de Internet y de los servicios de Cloud Computing o computación en la “nube”3. Delimitar en qué consiste este fenómeno no es sencillo, ya que no existe unanimidad sobre los servicios que abarca y su distinción de otras técnicas informáticas como la Web 2.04. A nuestro parecer, existen indicios que permiten indicar que nos encontramos ante un verdadero servicio de nube pública, como por ejemplo la exigencia de autenticación del usuario, que implique la migración y el almacenamiento remoto de datos digitales, que sea razonable implementar su pago por su uso, que ofrezca cierto grado de personalización, que la aplicación informática tenga cierto grado de complejidad y potencia, o que obligue a suscribir condiciones generales5. Por ello, consideramos como ejemplos de servicios de nube pública el correo electrónico, el alojamiento externalizado de datos digitales, las bases de datos digitales y otras soluciones que permitan compartir, editar y almacenar datos entre usuarios.
El suscriptor de servicios de nube pública, y especialmente al pequeño empresario que los utiliza para tratar datos personales de terceros, debe ser consciente de ciertos riesgos, tales como la falta de transparencia sobre el funcionamiento interno de la nube, el desconocimiento sobre la ubicación de los centros informáticos donde se almacenan y replican los datos migrados o la existencia de subproveedores, así como los movimientos transfronterizos de datos personales. Todos los factores mencionados pueden provocar vulneraciones de la privacidad, falta de control en las medidas de seguridad o desviaciones del marco jurídico europeo hacia regulaciones de terceros países menos exigentes con la privacidad digital. Por tanto, la suscripción de estos servicios es susceptible de crear potenciales incumplimientos normativos, los cuales devengarán en responsabilidades legales para el pequeño empresario que los suscribe.
En este trabajo, nos centraremos en la regulación de las transferencias internacionales de datos personales y analizaremos la problemática que suelen presentar para pequeño empresario español que suscribe servicios de Cloud Computing como herramienta para tratar datos personales de terceros.
2 LA PROBLEMÁTICA DE LA LOCALIZACIÓN FÍSICA DE LOS DATOS PERSONALES EN LA NUBE PÚBLICA
En la prestación de servicios de nube pública se produce una migración de datos que se originan generalmente en los sistemas del cliente, se transmiten a través de una red de comunicaciones (generalmente, Internet) y se almacenan en centros de datos digitales propiedad del proveedor de servicios o de un subproveedor al servicio de este. Como resultado de este flujo constante de información digital entre diferentes centros de procesamiento, nos encontramos con datos personales localizados en ubicaciones múltiples, dispares y simultáneas. Por ello, es habitual que el responsable del tratamiento desconozca la ubicación física de los datos inicialmente transmitidos, en qué lugar o lugares están almacenados o replicados, y a qué destinos están siendo transferidos en cada momento6. Tal información no suele facilitarse en los contratos de servicios cloud que suscribe el cliente7. Exista o no previsión contractual8, la realidad es que el responsable del tratamiento difícilmente puede conocer la ubicación de sus datos a tiempo real, ni cuantas copias o transferencias de información sensible pueden estar llevándose a cabo, con lo cual existe el riesgo de que los datos acaben en países de destino con un nivel de protección de datos inferior al europeo9.
No obstante, el principal problema no radica tanto en conocer su ubicación exacta10, sino en saber quién puede tener acceso a los datos, las garantías y riesgos que ofrece el proceso de transmisión o tránsito; y la legislación aplicable y las autoridades que puedan acceder a esos datos11. Debemos ser conscientes de que es el proveedor quien tiene la capacidad y el poder de decisión en cuanto a la provisión de la seguridad de sus propias instalaciones, sistemas y conexiones de red.
Consecuentemente, esta falta de información choca con la obligación del cliente empresario, como responsable del tratamiento, de impedir la transferencia de datos a aquellos países fuera del Espacio Económico Europeo12 que no cumplan con los requisitos legales comunitarios. Como veremos más adelante, en nuevo Reglamento Europeo permite la transferencia internacional de datos personales a países fuera del EEE únicamente cuando el país o entidad importadores garanticen un nivel adecuado de protección de datos, como veremos en posteriores apartados.
3 LA REGULACIÓN DE LAS TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES
Llegados a este punto, consideramos apropiada una aproximación a la regulación de las transferencias internacionales de datos personales en la legislación actual y su puesta en relación con la prestación de servicios de Cloud Computing.
3.1 Contexto general de la regulación de transferencias internacionales de datos personales
Como punto de partida, es destacable el amplio alcance del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)13, puesto que se aplicará, por una parte, a las actividades de establecimientos de responsables y encargados de la Unión Europea, independientemente de que ese tratamiento tenga lugar o no en la Unión (art. 3.1 RGPD), y, por otra parte, al tratamiento de datos personales de interesados que se encuentren en la Unión, aunque el responsable o el encargado del tratamiento no estén establecidos en la Unión, cuando ese tratamiento esté relacionado con la oferta de bienes o servicios (entre ellos, servicios digitales y servicios cloud) a tales interesados, así como en lo referente a mecanismos que controlen su comportamiento (art. 3.2 RGPD)14.
En cuanto a los derechos de transparencia e información del titular de los datos personales, este debe dar su consentimiento para que puedan efectuarse transferencias internacionales de sus datos personales, y debe informársele de las medidas que garanticen la legalidad de esta transferencia (arts. 13.1.f, 14.1.f y 15.2 RGPD). En el mismo sentido, las remisiones al Reglamento Europeo realizadas por su norma de desarrollo española, la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (arts. 11 y 13 LOPDGDD).
El Reglamento Europeo dedica a las transferencias internacionales de datos personales los tres artículos que integran su Capítulo V15. El artículo 44 exige el exige el cumplimiento de ciertos requisitos de legalidad a las transferencias internacionales de datos personales. Los obligados al cumplimiento de estos requisitos son el responsable y el encargado del tratamiento, quien debe seguir las instrucciones del responsable (arts. 28.3.a y 29 RGPD). A continuación, se establece un triple régimen aplicable a las transferencias de datos, estableciéndose diferencias en las garantías exigidas. El Reglamento Europeo estima que, con el cumplimiento de las garantías recogidas en este título, no es necesario obtener una autorización específica al respecto (arts. 45.1. 46.2, 47.1 y 49.1 RGPD). En próximos apartados de este trabajo veremos con más detalle este triple régimen de garantías.
Asimismo, las empresas con más de 250 trabajadores, las que efectúen un tratamiento implique riesgos habituales para los derechos y libertades de los interesados o las que traten con datos personales especialmente sensibles (art. 9 RGPD), o condenas e infracciones penales (art. 10 RGPD), deben efectuar la llevanza de un Registro de actividades del tratamiento que recoja las transferencias internacionales efectuadas y, en su caso, las garantías que acredita la legalidad de esa transferencia (art. 30.1.e RGPD), para requerimientos de la autoridad de control competente (art. 30.4 RGPD). Esta obligación recae, concretamente, sobre el responsable del tratamiento y, en su caso, sobre el encargado. En el caso del Cloud Computing, implicaría que el responsable debe conocer el funcionamiento interno del servicio. Sin embargo, no todos los proveedores ofrecen ese nivel de transparencia.
Por su parte, la LOPDGDD, en su Título VI (arts. 40 a 43) remite al régimen del Reglamento Europeo en lo referente a transferencias internacionales de datos personales, y determina, como se verá más adelante, la competencia de la autoridad nacional de control (en nuestro caso, la Agencia Española de Protección de Datos o AEPD y las agencias de protección de datos autonómicas) para adoptar cláusulas contractuales tipo y aprobar otras garantías de las transferencias internacionales. Además, para aquellos casos en los que las transferencias no se amparen en una decisión de adecuación de la Comisión Europea o en alguna de las garantías referenciadas por el Reglamento, el responsable del tratamiento deberá obtener una autorización de la autoridad de control competente, estableciendo el artículo 42 de la LOPDGDD el procedimiento para ello.
La LOPDGDD también prevé la posibilidad de crear normas de desarrollo en materia de transferencias internacionales de datos personales (disposición final 15).
3.2 Transferencias basadas en una decisión de adecuación. El Acuerdo Privacy Shield con EE. UU.
La Comisión Europea considera que un conjunto de países fuera del EEE queda eximido de autorización específica, al ofrecer un nivel normativo de protección a la privacidad equivalente al europeo16. Cabe destacar que la gran mayoría de países no han obtenido este reconocimiento por parte de la Unión Europea, ni tampoco se prevé, en opinión de algunos expertos, que a medio plazo esta lista aumente considerablemente17.
En el caso de EE. UU., la Comisión Europea únicamente reconoce el nivel adecuado de protección a aquellas empresas y entidades acogidos a los principios de puerto seguro o Safe Harbor18, de acuerdo con la Decisión 2000/520/CE19 y, tras su anulación por el Tribunal de Justicia de la Unión Europea en 2015, al acuerdo Privacy Shield de 2016, cuyas medidas de protección son más reforzadas20. Así, esta Decisión no reconoce que todo el territorio estadounidense tenga un nivel de protección con garantías equiparables al sistema europeo, sino que las empresas norteamericanas suscriptoras de los “principios de puerto seguro” se comprometen a mantener ciertas garantías en cuanto al tratamiento de datos personales procedentes de Europa. Actualmente, este acuerdo se revisa de forma anual por el Comité Europeo de Protección de Datos21.
3.3 Transferencias mediante otras garantías
Si nos encontramos ante un país sobre el cual la Comisión Europea no ha adoptado decisión alguna sobre su adecuación como destinatario de datos personales de ciudadanos europeos conforme al artículo 45 del Reglamento Europeo, las transferencias que tengan como destino este país pueden efectuarse con otras garantías, entre las que cabe destacar las cláusulas tipo, los códigos de conducta verificados y vinculantes, los certificados de cumplimiento y las normas corporativas vinculantes (arts. 42, 46 y 47 RGPD).
Las cláusulas tipo cumplen la función de contrarrestar, con sus efectos vinculantes entre las partes contractuales, la falta de una normativa suficientemente protectora de la privacidad en el país receptor, incluyendo los elementos esenciales para conseguir el amparo del titular de los datos y los efectos prácticos equivalentes a la cobertura legal que ofrece el Reglamento Europeo. Estas cláusulas se suscriben en el marco de relaciones contractuales entre responsables del tratamiento, entre responsables y encargados, y entre encargados y subencargados del tratamiento. Son competentes para elaborarlas tanto la Comisión Europea como las autoridades de control nacionales, aunque estas últimas deberán ser aprobadas también por la Comisión (art. 93.2 RGPD). En la actualidad, son vigentes ciertas cláusulas tipo anteriores a la entrada en vigor del Reglamento, pero que la Comisión Europea considera que mantienen su validez, por el momento22. Además, en los contratos entre responsable y encargado o entre dos encargados, pueden añadirse cláusulas y garantías adicionales que complementen la protección de las cláusulas tipo (considerando 109 RGPD). A pesar de lo anterior, se necesitará autorización expresa de la autoridad de control española (nacional o autonómica, en su caso) cuando las garantías adecuadas se aporten mediante cláusulas contractuales entre responsable y encargado o entre encargado y subencargado que no sean coincidentes con las cláusulas tipo adoptadas por la Comisión (art. 42 LOPDGDD). Las autorizaciones otorgadas por la AEPD antes de la entrada en vigor del nuevo Reglamento siguen siendo válidas.
Otro sistema de garantías previsto por el Reglamento Europeo en su artículo 46 (y por el art. 38 de la LOPDGDD) es la suscripción de códigos de conducta promovidos por asociaciones y otros organismos que representen a un conjunto de responsables o encargados del tratamiento, con la finalidad de conseguir una eficaz aplicación práctica del Reglamento Europeo y de establecer las obligaciones de responsables y encargados conforme a la actividad del sector empresarial involucrado. Están especialmente ideados para sectores de similar actividad, pymes y microempresas (considerando 98 RGPD). Son mecanismos de autorregulación que deben ser aprobados, registrados y publicados por la autoridad de control competente, y sometidos a supervisión por parte de un organismo acreditado también por la autoridad de control (arts. 40 y 41 RGPD). Pueden adherirse a estos códigos de conducta responsables y encargados para llevar a cabo transferencias internacionales legítimas (art. 40.3 y 46 RGPD). Por su parte, el Comité Europeo de Protección de Datos trabaja en unas directrices para la elaboración de estos códigos de conducta23. Los códigos de conducta anteriores al Reglamento Europeo deberán modificarse antes del 7 de diciembre de 2019, y la autoridad de control verificará su adaptación al nuevo marco normativo (art. 40.2 RGPD y disposición transitoria 2ª LOPDGDD). Además de otros incentivos24, la adhesión y cumplimiento de estos códigos de conducta podrán ayudar a demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento (art. 24.3 RGPD).
El Reglamento también promueve la creación de mecanismos de certificación voluntaria en materia de protección de datos, así como sellos y marcas que demuestren el cumplimiento y el sometimiento a controles periódicos de las garantías de seguridad en materia de privacidad (art. 42 y 43 RGPD, y art. 39 LOPDGDD). El Comité Europeo de Protección de Datos ha elaborado también unas directrices para la creación de este tipo de certificaciones25.
El Grupo de Trabajo del Artículo 29 desarrolló en su momento las llamadas reglas corporativas vinculantes (Binding Corporate Rules) como alternativa a los acuerdos Safe Harbor (vigentes en aquel momento) y a las cláusulas modelo de la Unión Europea. Se enmarcan en transferencias internacionales de datos personales que tienen lugar dentro de grupos empresariales multinacionales, garantizan el cumplimiento de los principios y el ejercicio de los derechos reconocidos en el actual Reglamento. Son adicionales a las cláusulas contractuales tipo y pueden utilizarse para complementarlas. El Grupo de Trabajo del Artículo 29 elaboró algunos informes que completaban su contenido y procedimiento previo26, y las adaptaron para extender su uso a encargados del tratamiento27. El nuevo Reglamento Europeo pretende fomentar y generalizar la adopción de las BCR dentro de los grupos multinacionales, flexibilizando el proceso de aprobación por las autoridades de control (considerandos 108 y 110, y art. 47 RGPD).
3.4 Transferencias internacionales excepcionales
Para ciertos casos especiales (art. 49 RGPD), el Reglamento Europeo establece la legalidad de puntuales transferencias internacionales de datos personales que carecen de decisión de adecuación por parte de la Comisión Europea y de garantías adecuadas conforme a sus artículos 46 y 47. Para que sea aplicable este régimen extraordinario, debe cumplirse alguna de las condiciones exigidas, como la autorización expresa e informada del titular de los datos, o la necesidad de la transferencia para ejecutar un contrato entre el titular de los datos y el responsable del tratamiento, entre otras28.
Por último, el Reglamento Europeo recoge en su artículo 49.1 in fine la posibilidad de que se efectúen transferencias de datos puntuales y con fines de intereses legítimos imperiosos (art. 13 y 14 RGPD)29.
3.5 Transferencias no autorizadas por el Reglamento Europeo
Si se produce una transferencia internacional de datos personales sin las garantías recogidas en el triple sistema ofrecido por el Reglamento Europeo, y careciendo de la autorización de la autoridad de control en aquellos casos en los que pueda ser exigible, tal transmisión internacional de datos personales se considerará ilegal (art. 44 RGPD y 40 LOPDGDD). Como tal, será sancionada de acuerdo con las normativas nacionales de desarrollo del Reglamento Europeo.
De acuerdo con el régimen sancionador previsto por nuestra LOPDGDD, están sujetos a este régimen los responsables y encargados del tratamiento, estén o no establecidos en la Unión Europea30. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento Europeo se considera una infracción grave (art. 72.l LOPDGDD) y está sancionada con multas administrativas de hasta 20 millones de euros (83.5.c RGPD), y para su determinación, podrán tenerse en cuenta, por parte de las autoridades nacionales de control, circunstancias agravantes o atenuantes de los hechos (art. 76.2 LOPDGDD y 83.2.k RGPD).
4 LAS TRANSFERENCIAS DE DATOS PERSONALES DERIVADAS DE SERVICIOS DE NUBE PÚBLICA
Debido a las particularidades del funcionamiento de la nube pública, la regulación anterior resultaba poco flexible en su aplicación al entorno cloud, ya que este contexto no fue tomado en consideración al generarse aquel marco legal31. El Reglamento Europeo vigente está ideado para solventar las eventuales carencias de la normativa precedente y para reforzar las garantías de la privacidad digital, lo cual implica un régimen de transferencias internacionales que permita mantener salvaguardados los derechos de los ciudadanos del EEE. A continuación, observaremos las particularidades de la aplicación práctica del marco jurídico actual en el ámbito del Cloud Computing y, más concretamente, de las transferencias internacionales de datos personales.
4.1 Los roles de encargado y responsable del tratamiento
El Dictamen 5/2012 sobre el Cloud Computing del Grupo de Trabajo del Artículo 29 interpreta que, puesto que el empresario suscriptor de servicios en la nube pública es quien define el propósito del tratamiento y la externalización de todo o parte de este tratamiento, está actuando como responsable del tratamiento, y como tal, debe asumir su parte de responsabilidad y su sujeción a todos los deberes legales32. Esta idea se mantiene con el nuevo Reglamento Europeo, puesto que la definición de responsable es, en esencia, la misma que existía con la normativa anterior.
Sin embargo, a pesar de esta categorización genérica del empresario suscriptor de servicios cloud como responsable, debe tenerse en cuenta su capacidad de control efectivo sobre el tratamiento, en cuanto sufre una considerable merma desde el momento en el que introduce datos personales de terceros en la nube. Por ello, será sumamente necesario, para que pueda seguir considerándosele responsable, que el proveedor le permita cumplir con sus obligaciones legales al respecto, poniendo a su disposición los mecanismos necesarios para facilitar esta labor, y que se someta a sus instrucciones en cuanto al tratamiento de los datos de carácter personal facilitados. Por lo anterior, coincidimos con lo afirmado por el Grupo de Trabajo del Artículo 29: deben matizarse las responsabilidades del cliente de servicios de computación en la nube de acuerdo con su capacidad de control efectivo del tratamiento33. Consideramos que el nuevo Reglamento Europeo ha introducido mecanismos complementarios que compensan en gran parte la imposibilidad práctica de control pleno del tratamiento que realiza el proveedor cloud, como las evaluaciones de impacto en la protección de datos previas al tratamiento, la adscripción a códigos de conducta vinculantes, o las certificaciones verificadas.
4.2 La importancia del contrato entre proveedor y cliente
Es preciso que el suscriptor de servicios de computación en la nube revise las condiciones contractuales puestas a disposición por el proveedor, para asegurarse la adecuada previsión sobre las finalidades del tratamiento, las transferencias de datos personales y el destino de la información una vez terminada la relación contractual. Muchos de estos extremos suelen encontrarse en anexos ad hoc, a modo de políticas de privacidad34.
Recordemos que es obligación del responsable elegir un encargado o encargados que proporcionen las suficientes garantías (art. 28.1 RGPD). Por ello, puesto que el problema principal radica en la imposibilidad de negociar los contratos de adhesión, el pequeño empresario suscriptor de estos servicios deberá asegurarse, antes de contratar, de que el proveedor elegido le permite asegurar el cumplimiento de la normativa europea y española en materia de protección de datos. Por ello, deberá averiguar, de manera previa a la contratación, algunos extremos que reconozcan la legalidad de las transferencias internacionales, como por ejemplo la localización más o menos precisa de los centros de datos, la suscripción de cláusulas contractuales homólogas a las cláusulas tipo reglamentadas, y otros indicios que permitan asegurar el compromiso del proveedor con el cumplimiento del nuevo marco jurídico europeo. En caso de que el compromiso sobre privacidad no se adecúe a las exigencias legales, el empresario responsable del tratamiento deberá proponer los cambios necesarios al proveedor cloud, o sustituir sus servicios por los de otro proveedor más confiable. (tesi).
4.3 El precio real por el servicio cloud
En ocasiones, el precio se conforma como uno de los factores determinantes para que un pequeño empresario o profesional contrate un servicio de nube pública, optándose en muchos casos por los servicios más populares o “gratuitos”, sin tenerse en cuenta posibles mermas en el rendimiento o en el cumplimiento de la normativa sobre privacidad, y sin que se efectúen una lectura previa y esmerada de las condiciones del servicio35.
Es sabido que los servicios ofrecidos como “gratuitos”, en realidad implican cesiones de datos o de derechos por parte del cliente36. Esta cuestión debe tenerse en cuenta por clientes responsables del tratamiento, con el fin de que no se vean mermadas las garantías que le son exigibles en cumplimiento de las normas de privacidad.
Asimismo, debe prestarse especial atención a aquellos contratos en los que aparecen cláusulas de limitación y exención de responsabilidad que puedan ser desproporcionadas. Estos contratos, la mayoría provenientes de proveedores establecidos fuera de las fronteras del EEE, implican en la práctica que el cliente está contratando servicios cuyo proveedor no responderá ante fallos en los sistemas de seguridad, incumplimiento de subproveedores, problemas de acceso al servicio y otros posibles factores que no solo le perjudiquen como cliente del servicio, sino también como responsable del tratamiento. Recordemos que, en principio, al pequeño empresario no se le aplica la normativa sobre cláusulas abusivas, sino que se le presupone un deber de diligencia profesional que incluye la lectura detallada de los contratos que suscribe. Estas limitaciones de responsabilidad del proveedor pueden derivar en problemas si el cliente responsable pretende ejercitar su derecho de repetición, especialmente cuando el proveedor esté establecido fuera del EEE.
4.4 Subcontrataciones realizadas por proveedores de servicios cloud
La mayoría de contratos de nube pública implican subcontrataciones y, por tanto, mayor volumen de transferencias internacionales. Si bien la relación jurídica entre responsable y encargado del tratamiento se regirá mediante un contrato ad hoc (art. 28.3 RGPD), si existen subcontrataciones en las tareas del tratamiento, las garantías ofrecidas al responsable deberán mantenerse a lo largo de toda la cadena de subencargados, respondiendo ante el responsable el encargado originario (art. 28.4 RGPD).
El Grupo de Trabajo del Artículo 29, en el Dictamen 5/2012 sobre Cloud Computing, estableció cláusulas contractuales tipo para la transferencia internacional de datos personales a encargados del tratamiento establecidos en terceros países, introducidas por la Decisión de la Comisión de 5 de febrero de 2010. Mediante estas cláusulas, el subtratamiento se permitía únicamente si existía autorización previa y por escrito del responsable; y si mediaba un acuerdo escrito a través del cual el encargado responda plenamente frente al responsable por la ejecución de las obligaciones del subencargado. Con la actual redacción del Reglamento Europeo, se ha elevado a rango legal parte del contenido de las exigencias reconocidas por esas cláusulas tipo, garantizándose así que la cadena de subcontrataciones no dispersa las obligaciones y responsabilidades en materia de protección de datos.
Por nuestra parte, dudamos de la eficacia de estas garantías en la práctica, dada la dificultad de probar el cumplimiento normativo en cadenas de subcontrataciones que implican a diferentes países. Sería recomendable la entrada de mecanismos complementarios que permitieran al responsable comprobar que el cumplimiento normativo es real, por ejemplo, el sometimiento a certificaciones de cumplimiento, por ahora voluntarias (art. 42.3 RGPD), para darle, como responsable, mayores opciones de control sobre el tratamiento37.
4.5 Responsabilidad por incumplimiento de obligaciones en materia de privacidad en entornos de nube pública
El grupo de expertos en contratación de la Cloud Computing Strategy plantea la posibilidad, por una parte, de habilitar acciones directas del empresario responsable del tratamiento contra el subproveedor cloud y, por otra, de que el proveedor cloud tuviera que responder por toda la cadena de subcontrataciones ante el cliente38.
El responsable debe indemnizar cualesquiera daños y perjuicios ocasionados por infracciones en materia de privacidad (art. 82.1 RGPD), e indemnizar al interesado perjudicado, respondiendo el encargado únicamente cuando haya incumplido las instrucciones del responsable o las obligaciones que le impone directamente el Reglamento (art. 82.2 RGPD). Posteriormente, el responsable del tratamiento que haya abonado la indemnización podrá ejercer su derecho de repetición contra otros responsables o encargados que hayan participado en el tratamiento (art. 82.5 RGPD). De todos modos, se prevé que los encargados respondan por los incumplimientos de sus subencargados en materia de protección de datos (art. 28.4 RGPD). Todo lo anterior se aplicará también cuando tengan lugar transferencias internacionales de datos personales ilícitas o dañosas.
En cuanto a las reclamaciones que pretenda interponer el cliente cloud pequeño empresario por incumplimientos en materia de seguridad de los datos, será necesario acudir al contrato suscrito y comprobar las responsabilidades asumidas por responsable, encargado y, en su caso, subencargado. Para prever las consecuencias derivadas del eventual incumplimiento, es importante que el pequeño empresario averigüe con qué mecanismos de prueba cuenta, las posibles acciones que puede interponer contra el proveedor incumplidor en base al incumplimiento contractual, y qué autoridades son competentes para conocer del caso.
CONCLUSIONES
Los servicios de nube pública implican generalmente transferencias internacionales de datos personales, derivadas del almacenamiento y replicado remotos. A su vez, si el proveedor subcontrata parte del servicio, se genera un movimiento multinacional de datos digitales que dificulta el control de las garantías en materia de privacidad. En la práctica del Cloud Computing, el cumplimiento absoluto de obligaciones del pequeño empresario responsable del tratamiento que están relacionadas con la supervisión al encargado resultan complicadas, ya que aquel suele desconocer el funcionamiento interno del servicio cloud, y carece de posibilidades reales de auditar el cumplimiento normativo.
Sobre la nueva regulación europea, consideramos que incluye muchas mejoras respecto de la normativa anterior, y que supone un gran paso hacia una mejor protección de la privacidad digital. Es especialmente aplaudible la propuesta medidas proactivas como la protección de datos desde el diseño y por defecto o la concienciación de la necesidad de realizar evaluaciones de los riesgos que pueden derivarse de un tratamiento aparentemente sencillo de datos personales, incentivando a sectores específicos de actividad para que adopten medidas (como códigos de conducta y certificaciones adoptados por responsables, encargados y subencargados) y garantizando en última instancia los derechos exigibles y las acciones legales efectivas de los interesados (art. 46.1 RGPD).
Como conclusión, opinamos que la entrada en vigor del nuevo marco jurídico europeo facilitará el tráfico internacional y garante de datos personales que tengan lugar entre clientes cloud responsables del tratamiento y proveedores cloud encargados del tratamiento, o entre encargados y subencargados. Estas transferencias transfronterizas serán legitimadas mediante decisiones de la Comisión (como el acuerdo Privacy Shield y la adscripción a este por parte de los proveedores cloud destinatarios de los datos), la suscripción de garantías contractuales (cláusulas tipo o autorizadas por las autoridades de control, normas corporativas vinculantes…), o voluntarias (códigos de conducta o mecanismos de certificación). No obstante, el pequeño empresario responsable del tratamiento debe constatar siempre la adecuación del proveedor elegido al cumplimiento legal del marco europeo. Es recomendable decantarse, preferentemente, por proveedores cuyos centros de datos se hallen ubicados en el EEE, o, en su defecto, que presenten las garantías reglamentadas.
Aun lo anterior, y siempre encaminados hacia la búsqueda de mejoras, nos adherimos a lo manifestado por GUASCH PORTAS y SOLER FUENSANTA: “hay que ser conscientes de que la existencia de estos instrumentos para garantizar la legalidad de las transferencias internacionales en el ámbito de la computación en nube no elimina las dificultades de su implantación en muchos casos reales. Deberán surgir nuevas herramientas en el futuro para facilitar todavía más el cumplimiento de las normas sobre protección de datos, tanto por parte del cliente como por parte del proveedor de servicios”39.
