3.9.2013   

ES

Diario Oficial de la Unión Europea

C 253/3

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la Comunicación de la Comisión «Liberar el potencial de la computación en nube en Europa»

(El texto completo del presente dictamen puede encontrarse en inglés, francés y alemán en el sitio web del SEPD http://www.edps.europa.eu)

2013/C 253/03

I.   Introducción

I.1.   Objetivo del dictamen

1.

A la vista de la importancia de la computación en nube en la sociedad de la información en rápida evolución y el debate político en curso dentro de la UE sobre dicho tema, el SEPD ha decidido emitir el presente dictamen por iniciativa propia.

2.

El presente dictamen responde a la Comunicación de la Comisión «Liberar el potencial de la computación en nube en Europa», de 27 de septiembre de 2012, (en adelante, «la Comunicación») (1), que establece las actuaciones clave y las medidas políticas que deben ser adoptadas para acelerar el uso de los servicios de computación en nube en Europa. El SEPD ya había sido consultado de manera informal antes de la adopción de la Comunicación, habiendo emitido observaciones informales. El SEPD señala que algunas de sus observaciones han sido tenidas en cuenta en la Comunicación.

3.

Sin embargo, dado el ámbito de aplicación y la importancia del debate en curso sobre la relación entre la computación en nube y el marco jurídico de protección de datos, el presente dictamen no se limita a las materias tratadas en la Comunicación.

4.

El dictamen se centra en especial en los retos que la computación en nube plantea para la protección de datos y el modo en que el Reglamento de protección de datos (en adelante, la «propuesta de Reglamento») (2) los aborda. También comenta las áreas identificadas que requieren futuras actuaciones en la Comunicación.

I.2.   Antecedentes

5.

En el contexto del debate político general dentro de la UE sobre la computación en nube, las actividades y documentos siguientes poseen una importancia específica:

Tras su Comunicación relativa a una Agenda Digital para Europa de 2010 (3) la Comisión lanzó una consulta pública relativa a la computación en nube en Europa del 16 de mayo hasta el 31 de agosto de 2011 y publicó los resultados el 5 de diciembre de 2011 (4);

El 1 de julio de 2012, el Grupo de Trabajo del Artículo 29 (5) adoptó un dictamen sobre la computación en nube (en adelante, el «Dictamen del Grupo de Trabajo del Artículo 29») (6), el cual analiza la aplicación de las actuales normas sobre protección de datos establecidas en la Directiva 95/46/CE a los proveedores de servicios de computación en nube que operan en el Espacio Económico Europeo (EEE) y sus clientes (7);

El 26 de octubre de 2012, las Autoridades de Protección de Datos y Privacidad adoptaron una resolución sobre la computación en nube durante su 34a Conferencia Internacional (8).

I.3.   Comunicación sobre la computación en nube

6.

El SEPD recibe con agrado la Comunicación e identifica tres acciones clave específicas necesarias a nivel europeo para acompañar y promover el uso de la computación en nube en Europa, a saber:

Acción clave 1: Abrirse paso a través de la selva de normas

Acción clave 2: Condiciones contractuales seguras y justas

Acción clave 3: Crear una Asociación Europea de Computación en Nube para impulsar la innovación y el crecimiento desde el sector público.

7.

También están previstas medidas políticas, como las destinadas a estimular el uso de la computación en nube promoviendo la investigación y el desarrollo y la sensibilización, así como la necesidad de tratar temas claves relacionados con los servicios en nube — incluidos, entre otros, la protección de datos, el acceso por parte de los órganos policiales, la seguridad, la responsabilidad de los proveedores de servicios intermediarios — mediante un refuerzo del diálogo internacional.

8.

La Comunicación menciona la protección de datos como un componente esencial para garantizar el éxito del despliegue de la computación en nube en Europa. La Comunicación destaca (9) que la propuesta de Reglamento trata muchas de las cuestiones planteadas por los proveedores de servicios en nube y los clientes de la nube (10).

I.4.   Objeto y estructura del dictamen

9.

Este dictamen tiene tres objetivos.

10.

El primer objetivo es destacar la relevancia de la intimidad y la protección de datos en los actuales debates en materia de computación en nube. Más concretamente, el dictamen subraya que el nivel de protección de datos en un entorno de computación en nube no debe ser inferior al necesario en cualquier otro contexto de tratamiento de datos. Las prácticas de computación en nube solo pueden ser desarrolladas y aplicadas legalmente si garantizan que respetan dicho nivel de protección de datos (véase el capítulo III.3). El dictamen toma en consideración las orientaciones proporcionadas en el dictamen del Grupo de Trabajo del Artículo 29.

11.

El segundo objetivo es analizar con más detalle los principales retos que la computación en nube plantea en materia de protección de datos en el contexto de la propuesta de Reglamento de protección de datos, en particular, la dificultad de establecer inequívocamente las responsabilidades de los distintos actores y los conceptos de responsable del tratamiento y encargado del tratamiento. El dictamen (principalmente, en el capítulo IV) analiza el modo en que la propuesta de Reglamento ayudaría, tal como está presentada actualmente (11), a garantizar un alto nivel de protección de datos en los servicios de computación en nube. Por lo tanto, está basada en las opiniones desarrolladas por el SEPD en su Dictamen sobre el paquete legislativo de reforma de la protección de datos (en adelante, «el dictamen del SEPD sobre el paquete legislativo de reforma de la protección de datos») (12) al que complementa al considerar de manera específica el entorno de la computación en nube. El SEPD subraya que su dictamen sobre el paquete legislativo de reforma de la protección de datos es de plena aplicación respecto de los servicios de computación en nube y debe considerarse como base para el presente dictamen. Además, algunas de las cuestiones aquí mencionadas — como su análisis de las nuevas disposiciones en materia de derechos de los interesados (13) — son lo suficientemente claras y, por lo tanto, no se desarrollarán con más detalle en el presente dictamen.

12.

El tercer objetivo es identificar las áreas que precisan una mayor actuación a nivel europeo desde la perspectiva de la protección de datos y la intimidad, a la vista de la estrategia en nube presentada por la Comisión en la Comunicación. Incluyen, entre otros, facilitar una mayor orientación, realizar esfuerzos de normalización, llevar a cabo más evaluaciones del riesgo para sectores específicos (como el sector público), desarrollar cláusulas y condiciones contractuales tipo, participar en un diálogo internacional sobre las cuestiones relativas a la computación en nube y garantizar medios eficaces de cooperación internacional (que deben desarrollarse en el capítulo V).

13.

El dictamen está estructurado de la siguiente manera: El apartado II establece un panorama general de las principales características de la computación en nube y los retos en materia de protección de datos asociados. El apartado III revisa los elementos más relevantes del marco jurídico europeo existente y de la propuesta de Reglamento. El apartado IV analiza el modo en que la propuesta de Reglamento ayudaría a solucionar los desafíos en materia de protección de datos que plantea el uso de los servicios de computación en nube. El apartado V analiza las sugerencias de la Comisión para otras medidas políticas e identifica los ámbitos en que podrían ser necesarios esfuerzos adicionales. El apartado VI incluye las conclusiones.

14.

Mientras que muchas de las consideraciones de este dictamen son aplicables a todos los entornos en que se utiliza la computación en nube, el dictamen no trata el uso específico de los servicios de computación en nube por parte de las instituciones y los órganos de la UE, que están sujetos a la supervisión del SEPD, con arreglo al Reglamento (CE) no 45/2001. El SEPD emitirá de manera separada orientaciones sobre esta cuestión para dichas instituciones y órganos.

VI.   Conclusiones

121.

Tal como se describe en la Comunicación, la computación en nube ofrece muchas oportunidades nuevas a las empresas, los consumidores y el sector público para la gestión de los datos mediante el uso de recursos tecnológicos externos remotos. Al mismo tiempo, presenta muchos desafíos, en particular respecto del nivel adecuado de protección de los datos que se proporciona a los datos tratados.

122.

El uso de los servicios de computación en nube plantea un riesgo importante, que consiste en ver cómo la responsabilidad se diluye respecto de las operaciones de tratamiento llevadas a cabo por los proveedores de servicios en la nube, si los criterios de aplicabilidad de la legislación europea de protección de datos no están lo suficientemente claros y si el papel y la responsabilidad de los proveedores de servicios en la nube están definidos o se entienden de forma demasiado restrictiva, o no se implantan de manera eficaz. El SEPD hace hincapié en que el uso de los servicios de computación en nube no puede justificar un retroceso de las normas en materia de protección de datos, si se comparan con las que resultan aplicables a las operaciones de tratamiento de datos convencionales.

123.

En este sentido, la propuesta de Reglamento de protección de datos, tal como ha sido presentada, proporcionaría muchas aclaraciones e instrumentos que ayudarían a garantizar que los proveedores de servicios de computación en nube cumplen un nivel satisfactorio de protección de datos, cuando prestan sus servicios a los clientes radicados en Europa, en particular:

el artículo 3 aclararía el ámbito de aplicación territorial de las normas europeas en materia de protección de datos y lo ampliaría, de forma que los servicios de computación en nube quedasen cubiertos;

el artículo 4, apartado 5, introduciría un nuevo elemento de control, esto es las «condiciones». Esto estaría en línea con la creciente tendencia con arreglo a la cual, en vista de la complejidad técnica de las TI que subyace de la prestación de servicios de computación en nube, resulta necesario ampliar las circunstancias en que un proveedor de servicios en la nube puede ser calificado como responsable del tratamiento, lo cual reflejaría mejor el nivel real de influencia en las operaciones de tratamiento;

la propuesta de Reglamento aumentaría la responsabilidad y la obligación de rendir cuentas de los responsables del tratamiento y los encargados del tratamiento, introduciendo obligaciones específicas como la protección de datos desde el diseño y por defecto (artículo 23), las notificaciones de la violación de los datos personales (artículos 31 y 32), y las evaluaciones de impacto de la protección de datos (artículo 33). Asimismo, exigiría a los responsables del tratamiento y los encargados del tratamiento que apliquen mecanismos que demuestren la eficacia de las medidas de protección de datos implementadas (artículo 22);

los artículos 42 y 43 de la propuesta de Reglamento permitirían un uso más flexible de los mecanismos de transferencia internacionales de datos para ayudar a los clientes de la nube y a los proveedores de servicios en la nube a ofrecer las garantías adecuadas en materia de protección de datos para las transferencias de datos personales a los centros o servidores de datos ubicados en terceros países;

los artículos 30, 31 y 32 de la propuesta de Reglamento aclararían las obligaciones de los responsables del tratamiento y los encargados del tratamiento respecto de la seguridad del tratamiento y los requisitos de información en caso de violaciones de datos, estableciendo la base para un enfoque general y cooperativo para la gestión de la seguridad entre los distintos actores en un entorno de la nube;

los artículos 55 a 63 de la propuesta de Reglamento reforzarían la cooperación de las autoridades de control y su supervisión coordinada en las operaciones transfronterizas de tratamiento, lo cual resulta especialmente crucial en un entorno como la computación en nube.

124.

El SEPD sugiere, sin embargo, que habida cuenta de las especificidades de los servicios de computación en la nube, la propuesta de Reglamento también debería aclarar los siguientes aspectos:

en relación con el ámbito de aplicación territorial de la propuesta de Reglamento, modificar el artículo 3, apartado 2, letra a), del siguiente modo «la oferta de bienes o servicios que impliquen el tratamiento de los datos personales de dichos interesados en la Unión», o añadir, de manera alternativa, un nuevo considerando que especifique que el tratamiento de datos personales de los interesados en la Unión, llevado a cabo por parte de responsables del tratamiento que no estén radicados en la Unión Europea que ofrezcan servicios a las personas jurídicas con sede en la Unión también entra dentro del ámbito de aplicación territorial de la propuesta de Reglamento;

añadir una definición clara del concepto de «transferencia», tal como indicó en su dictamen sobre el paquete legislativo de reforma de la protección de datos;

añadir una disposición específica para aclarar las condiciones en que podría permitirse el acceso a los datos almacenados en los servicios de computación en la nube por parte de los órganos con funciones coercitivas de los países de fuera del EEE. Dicha disposición también podría incluir la obligación para el beneficiario de la solicitud de informar y consultar a la autoridad de control competente en la UE en casos específicos.

125.

El SEPD subraya asimismo que es necesaria una mayor orientación por parte de la Comisión y/o las autoridades de control (en particular mediante el futuro Consejo Europeo de Protección de Datos) respecto de los siguientes aspectos:

aclarar qué mecanismos deben aplicarse para verificar la eficacia de las medidas de protección de datos puestas en marcha;

asistir a los encargados del tratamiento en el uso de las normas vinculantes para las empresas y el modo en que pueden dar cumplimiento a los requisitos aplicables;

proporcionar las mejores prácticas en cuestiones como la responsabilidad de los responsables del tratamiento y los encargados del tratamiento, la adecuada conservación de los datos en los entornos en la nube, la portabilidad de los datos y el ejercicio de los derechos de los interesados.

126.

Asimismo, el SEPD reconoce que los códigos de conducta elaborados por parte de la industria y aprobados por las pertinentes autoridades de control podrían ser un instrumento útil para mejorar tanto el cumplimiento, como la confianza entre los diversos actores.

127.

El SEPD apoya el desarrollo por parte de la Comisión, en consulta con las autoridades de control, de condiciones contractuales tipo para la prestación de servicios de computación en nube que respeten los requisitos en materia de protección de datos, en particular:

desarrollar condiciones contractuales tipo que se incluirán en las condiciones comerciales de las ofertas de servicios de computación en nube;

desarrollar requisitos y condiciones comunes de contratación pública para el sector público, teniendo en cuenta el carácter sensible de los datos tratados;

adaptar en mayor medida los mecanismos de transferencia internacional de datos al entorno de la computación en nube, en particular, actualizando las cláusulas contractuales tipo actuales y presentar cláusulas contractuales tipo para la transferencia de datos por parte de los encargados del tratamiento radicados en la UE a encargados del tratamiento ubicados fuera de la Unión.

128.

El SEPD subraya que, en el desarrollo de normas y sistemas de certificación, debe prestarse una consideración adecuada a los requisitos en materia de protección de datos, en particular:

aplicar los principios de privacidad desde el diseño y privacidad por defecto en el desarrollo de las normas;

integrar los requisitos de protección de datos como la limitación a una finalidad específica y la limitación de almacenamiento en el diseño de las normas;

a las obligaciones de los proveedores, de ofrecer a sus clientes la información necesaria para realizar una evaluación del riesgo válida y las medidas de seguridad que implementarán, así como alertas sobre las incidencias de seguridad.

129.

Por último, el SEPD resalta la necesidad de solucionar los desafíos que la computación en nube plantea a escala internacional. Anima a la Comisión a iniciar un diálogo internacional sobre las cuestiones planteadas por la computación en nube, incluida respecto de la jurisdicción y el acceso por parte de los servicios con funciones coercitivas, y sugiere que muchas de estas cuestiones podrían tratarse a través de distintos acuerdos internacionales o bilaterales, como los acuerdos de asistencia mutua y los acuerdos comerciales. Deben desarrollarse normas generales a escala internacional que establezcan condiciones mínimas y principios relativos al acceso a los datos por parte de los cuerpos policiales. Apoya asimismo el desarrollo por parte de las autoridades de control de mecanismos de cooperación internacional eficaces, en particular por lo que a las cuestiones de la computación en nube se refiere.

Hecho en Bruselas, el 16 de noviembre de 2012.

Peter HUSTINX

Supervisor Europeo de Protección de Datos

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 final.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  El Grupo de Trabajo del Artículo 29 es un órgano consultivo establecido en virtud del artículo 29 de la Directiva 95/46/CE. Está compuesto por representantes de las autoridades nacionales de supervisión y por el SEPD, y un representante de la Comisión.

(6)  Dictamen 05/2012 del Grupo de Trabajo del Artículo 29 sobre la computación en nube, disponible en: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_es.pdf

(7)  Asimismo, a escala nacional, las autoridades de protección de datos en diversos Estados miembros han emitido sus propias orientaciones sobre la computación en nube, por ejemplo, Italia, Suecia, Dinamarca, Alemania, Francia, Francia y el Reino Unido.

(8)  Resolución de la 34a Conferencia Internacional de Autoridades de Protección de Datos y Privacidad sobre la computación en nube, Uruguay, 26 de octubre de 2012.

(9)  Véase la página 8 de la Comunicación, el apartado «Actividades de la Agenda Digital sobre “crear confianza en el mundo digital”».

(10)  El término «clientes de servicios de computación en nube» se utiliza normalmente en este dictamen para referirse a los clientes, que actúen en calidad de empresas, y a los consumidores, que actúan en su capacidad de usuarios finales individuales.

(11)  Debe tenerse en cuenta el hecho de que el Consejo y el Parlamento Europeo están discutiendo actualmente la propuesta de Reglamento, mediante el procedimiento legislativo ordinario.

(12)  El dictamen está disponible en http://www.edps.europa.eu

(13)  Véase el dictamen del SEPD, en particular los apartados 140 a 158.