Windows AZURE Platform y la LOPD

La nube es otra nueva plataforma para la industria IT y debido a su relativa juventud hay aún dudas que aclarar. Estas dudas son tanto de carácter técnico como de negocio.

Por ejemplo, algunas dudas técnicas que resolvemos frecuentemente: ¿ Cómo se despliega la aplicación en la nube? ¿Tendré CPU dedicada? ¿Diferencia entre SQL Azure Y Azure Storage? ¿El Message Bus de .NET Services es parecido a un ESB? … Son de carácter puramente tekkie, por otro lado, las dudas de negocio vienen más por la parte de cómo enfocar una empresa a un nuevo mercado, cómo reorientar un producto a una filosofía de Software+Servicio, el coste de una infraestructura en la nube… y cómo no, la seguridad y la legislación.

En torno a seguridad y legislación, cada vez que hablamos de Cloud Computing, más específicamente de Windows Azure Platform, en España, siempre hay alguna persona que nos pregunta… ¿ y qué pasa con la LOPD ?

Pues bien, en este post vamos a intentar ver qué pasa con la LOPD 🙂

Partiendo de la base de que no soy un experto en legislación, vamos a ver en qué consiste la LOPD en líneas generales. LOPD son las siglas de Ley Orgánica de Protección de Datos de Carácter Personal, es una ley orgánica que tiene por objeto garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, en lo que concierne al tratamiento de los datos personales.

Esta ley  regula el tratamiento de datos y ficheros con información de carácter personal. Dispone de una serie de indicaciones y procesos a seguir previa obtención de los datos, durante el tratamiento y una vez finalizado el tratamiento de los mismos.

Dado que gran parte son procesos, se aplicarán independientemente de la plataforma donde estén alojados los datos. Por ejemplo, si vas a tener datos de caracter personal con un cierto nivel de seguridad, debes de mantener un log de acceso a los datos, guardarlos cifrados, tener un responsable de los accesos, guardar backups… pero, como véis, esto lo podemos hacer estando los datos en un papel, en un fichero en un disco local, o en una base de datos.

¿Entonces, cúal es la duda que hay con los datos en la nube? La problemática radica en que los datos de nuestras aplicaciones no tienen porqué estar dentro de nuestras fronteras, entonces ¿Qué pasa si mis datos es tán en un datacenter en europa, o en norte américa?

La LOPD tiene un apartado específico donde se contempla el movimiento internacional de los datos

“No podrán realizarse transferencias de datos a países que no proporcionen un nivel de protección equiparable al que presta la LOPD”

Pero en el apartado de excepciones vemos una que nos interesa 🙂

    – Cuando la transferencia tenga como destino un estado miembro de la unión europea, o un estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado

Perfecto, de modo que si hay un datacenter de Azure en Europa, no hay ningún problema :)  Esperemos al PDC a ver si nos dan anuncio de datacenter en Europa.

¿Y qué pasa con EEUU? ¿No puedo alojar allí mis datos? Si vemos con un poco de cariño la excepción, vemos que tb se refiere a estados fuera de la UE que garanticen un nivel de protección adecuado.

Para facilitar un tráfico fluido de datos entre EEUU y la UE se subscribieron los SHP, Safe Harbor Principles. Es un cuerpo normativo adoptado tras un período de negociación con la UE para facilitar la recapción de datos enviados por responsables Europeos. ( http://www.export.gov/safeharbor/eu/index.asp )

El SHP fue considerado adecuado por la Comisión, de modo que los datos de caracter personal pueden viajar a los Estados Unidos, siempre y cuando la empresa con la que trabajemos este dentro del tratado de Safe Harbor.

Para saber si una empresa está o no… tenemos un listado en la web http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list

Y para ahorrarlos la búsqueda…

Microsoft – http://web.ita.doc.gov/safeharbor/SHList.nsf/f6cff20f4d3b8a3185256966006f7cde/0fe0d3d9a40a570485256a7a006d8084?OpenDocument&Highlight=2,Microsoft

 

Conclusión

Los datos de carácter personal deben de tener un trato especial, este trato esta recogido en la LOPD, donde se indican una serie de procesos y regualciones a cumplir. Desde la perspectiva de Windwos Azure, la duda aparece cuando hay que mover datos de caracter personal a datacenters en EEUU.

Al estar Microsoft adherido al SafeHarbor, desaparecen las dudas, es un acuerdo por el cual los datos de carácter personal pueden viajar de la Unión Europea a Estados Unidos.

 

Espero que aclare algunas dudas!! 😉

Cualquier comentario será bien recibido, como os he indicado no soy un experto en leyes y cualquier aportación extra nos vendrá genial a todos.

Algunos Recursos

Agencia Española de Protección de Datos – https://www.agpd.es

LOPD https://www.agpd.es/portalweb/canaldocumentacion/legislacion/estatal/common/pdfs/Ley-15_99.pdf

SafeHarbor Wikipedia  http://en.wikipedia.org/wiki/International_Safe_Harbor_Privacy_Principles

LOPD en la Wikipedia – http://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos_de_Car%C3%A1cter_Personal_de_Espa%C3%B1a

 

Happy Hacking!! y feliz comienzo de nuevo curso.

 

PD –> Los informáticos hablaremos raro… pero el empape de leyes que me he pegado parecía castellano antiguo

PD2 –> Creo que hasta me siento con fuerzas de hacer una declaración de la renta

Publicado por

4 comentarios en “Windows AZURE Platform y la LOPD”

  1. La verdad es que hay mucha reticencia a prestar los datos a los demas, por otro lado este es un aspecto que los bancos realizan ya desde hace varios años contratando servicios OUTSOURCING incluso para sus copias de seguridad, aunque la mayor parte disponen de centros propios, en cualquier caso en España, creo que todavia tardara un tiempo, ya que no nos fiamos demasiado de aquello que no podemos tocar…

    Por otro lado me gustaria saber cuantas empresas y organismos oficiales se rigen por la LOPD, he visto de todo, sobre todo en organismos oficiales… para estos estoy seguro que este tipo de plataformas les aportara mayor seguridad.

    Un saludo.

  2. Gracias David por esta pequeña aclaración.

    Como ya te he comentado en alguna presentacion o charla, nuestra empresa está dando los primeros pasos para alojar todas nuestras soluciones en la nube, de momento son los datos los que están en la nube. Con esta pequeña explicación que nos has dado se me presentan algunas dudas. Te cuento.

    Como ya sabras existen empresas auditoras de la LOPD, que registran los ficheros informaticos que contienen datos de caracter personal, en donde estan ubicados fisicamente, que personas son las que acceden o pueden acceder a esos datos, etc… Existen documentos normalizados para indicar toda esta maraña de datos. ¿Que pasa en el caso de la nube?.

    Por otro lado en el caso de la obtencion de una empresa de la ISO 27001, ISO como ya sabras sobre los sistemas de gestion de la seguridad de la informacion , en nuestro caso que albergamos datos en la nube de terceras personas, que me exigiran?.

    Muchas preguntas aun que para mi todavia no tienen una respuesta clara…

    Perdona por el toston.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *