cloud data privacy
TRANSCRIPT
! 1!
!
!
!
MÁSTER!UNIVERSITARIO!EN!SEGURIDAD!DE!LAS!TECNOLOGÍAS!DE!LA!INFORMACIÓN!Y!LAS!
COMUNICACIONES!!
!
!
TRABAJO!FIN!DE!MÁSTER!
!!
ADECUACIÓN!A!LA!NORMATIVA!EN!ESTRATEGIA!DE!SEGURIDAD!Y!POLÍTICAS!DE!SEGURIDAD!PARA!PRESERVAR!LA!PRIVACIDAD!DE!DATOS!EN!LA!
CONTRATACIÓN!Y!USO!DE!SERVICIOS!EN!LA!NUBE.!!
!!!
!JOSE!MARIA!GONZALEZ!FRAILE!
DANIEL!LOPEZ!ROJO!GLADYS!MARTIN!ARRESE!
!!
CURSO!2014=2015!! !
2!!
'No one shall be subjected to arbitrary interference with his privacy, family, home, or correspondence.' The Universal Declaration of Human Rights
!
!
!
!
!
! !
3!!
! !
4!!
Agradecimientos!
Muchas'gracias'a'todos'aquellos'en'los'que'mayor'o'menor'medida'habéis'contribuido'en'la'
realización' de' este' trabajo,' en' especial' a' Pilar' Santamaría,' directora' de' este' proyecto,'
profesores'y'compañeros'del'Máster.''
Gracias'a'todos'por'este'año'que'hemos'compartido.'
'
'
' '
5!!
'
'
' '
6!!
Resumen!
Con! el! avance! de! la! tecnología! en! los! últimos! años! están! surgiendo! nuevas! formas! de!
negocio!que!tratan!de!priorizar!al!máximo!el!rendimiento!de!los!sistemas!y!los!procesos!de!
producción,!una!de!ellas!es!el!Cloud!Computing.!Su!llegada!alrededor!de!los!años!50!!cambió!
el!paradigma!tecnológico!dotando!a! las!empresas!de!una!solución!ágil!y!competitiva!que!
facilitó!acceder!de!forma!rápida!y!sencilla!a!un!catálogo!de!recursos!y!servicios!ilimitados!sin!
necesidad!de!realizar!grandes!inversiones.!!
Dado!que!la!responsabilidad!legal,!en!materia!de!protección!de!datos,!recae!en!el!cliente!
que!contrata!este!tipo!de!servicios,!es!necesario!sentar!unas!bases!contractuales!que,!en!
función! del! estado! actual! del! entorno! Cloud,! limite! los! riesgos! asociados! a! este! tipo! de!
servicios!y!anule!el!no!cumplimiento!legal!por!parte!del!proveedor.!
Para!la!valorar!la!situación!actual!del!mercado,!en!este!trabajo!se!identifican!los!puntos!de!
control!de!cumplimiento!normativo!dictado!por!la!Ley!Orgánica!de!Protección!de!Datos!y!se!
realiza!un!estudio!de!los!estándares!asociados!a!entornos!Cloud!para!evaluar!el!grado!de!
cumplimiento!por!parte!de! los!proveedores!más!potentes!de!este! sector.!Además! se!ha!
elaborado!una!herramienta!que!permite!auditar!el!servicio!contratado!y!de!forma!objetiva!
adecuarlo!a!esta!normativa.!
!
!
! !
7!!
! !
8!!
Abstract!
The! technology!advance!over! the! last! years! is!emerging!new!kinds!of!business,! trying! to!
prioritize!the!maximum!output!of!the!systems!and!production!processes,!one!of!which! is!
Cloud!Computing.!His!arrival,!in!the!fifties,!changed!the!technological!paradigm!by!providing!
companies!with!a!flexible!and!competitive!solution!that!facilitated!access!quickly!and!easily!
to!a!catalog!of!unlimited!resources!without!making!large!investments.!
Considering!that!the!legal!responsibility!in!data!protection!lies!on!the!client´s!side!who!hires!
these!services,!it!is!necessary!to!define!contractual!basis,!depending!on!the!current!state!of!
the! cloud!environment,!which! limits! the! risks! associated!with! these! kind!of! services! and!
cancels!the!non=legal!compliance!by!the!supplier.!
To! assess! the! current! market! situation,! this! paper! identifies! the! points! of! control! of!
regulatory!compliance!systems!in!accordance!to!Organic!Law!on!the!Protection!of!Personal!
Data!and!studies!the!associated!standards!to!cloud!environments!with!the!aim!of!evaluating!
the! level!of!compliance! from!the!most! important!cloud!providers.! In!addition,!a! tool!has!
been!developed!to!audit!the!contracted!service!and!objectively!adapt!it!to!these!regulations.!
!
! !
9!!
!
! !
10!!
CONTENIDO!
Agradecimientos!.......................................................................................................!4!
Resumen!...................................................................................................................!6!
Abstract!....................................................................................................................!8!
Contenido!...............................................................................................................!10!
Índice!de!tablas!.......................................................................................................!14!
Índice!de!imágenes!..................................................................................................!15!
CAPÍTULO!I:!INTRODUCCIÓN!Y!OBJETIVOS!...............................................................!17!
1.! INTRODUCCIÓN!Y!OBJETIVOS!...........................................................................!17!
2.! FASES!DEL!PROYECTO!.......................................................................................!18!
2.1! Investigación!Cloud!..............................................................................................!18!
2.2! Estudio!Normativa!...............................................................................................!18!
2.3! Elaboración!estado!proveedores!cloud!................................................................!19!
2.4! Evaluación!de!la!herramienta!disclover!................................................................!19!
CAPÍTULO!II:!ESTADO!DEL!ARTE!...............................................................................!20!
3.! “LA!NUBE”!........................................................................................................!20!
3.1! INTRODUCCIÓN!...................................................................................................!20!
3.2! CARACTERÍSTICAS!ESENCIALES!.............................................................................!21!
3.2.1! Auto=servicio!Bajo!demanda!.................................................................................!21!
3.2.2! Amplio!acceso!a!la!red.!..........................................................................................!22!
3.2.3! Distribución!de!recursos!independientes!de!la!posición.!......................................!22!
3.2.4! Elasticidad!rápida.!.................................................................................................!22!
3.2.5! Servicio!medido.!....................................................................................................!22!
3.3! MODELOS!DE!DESPLIEGUE!O!IMPLEMENTACIÓN!..................................................!22!
3.4! MODELOS!DE!SERVICIO!........................................................................................!23!
4.! DOCUMENTACIÓN!DE!REFERENCIA!..................................................................!24!
4.1! IDG/IDC!...............................................................................................................!31!
4.1.1! El!auge!de!la!TI!Híbrida:!Entornos!cloud!en!las!empresa!y!principales!
preocupaciones!de!los!responsables!TI!en!los!entornos!Cloud!.........................................!31!
11!!
4.2! Gartner!................................................................................................................!35!
4.2.1! Cuadrante!Mágico!de!Gartner!para!infraestructura!como!servicio.!(IaaS)!............!36!
4.2.2! Cuadrante!Mágico!de!Gartner!para!la!plataforma!de!aplicaciones!como!servicio.!
(PaaS)! 37!
CAPÍTULO!III:!PLATEAMIENTO!Y!SOLUCIÓN!.............................................................!42!
5.! PRIVACIDAD!.....................................................................................................!42!
5.1! ¿QUÉ!ES?!DEFINICIÓN!..........................................................................................!42!
5.2! MARCO!LEGAL!.....................................................................................................!43!
5.2.1! INTRODUCCIÓN!.....................................................................................................!43!
5.2.2! NOMATIVA!EUROPEA!............................................................................................!46!
5.2.2.1! Introducción!...............................................................................................................!46!
5.2.2.2! Directiva!95/46/CE!.....................................................................................................!48!
5.2.2.3! Decisión!520/2000/CE!o!Safe!Harbour!.......................................................................!51!
5.2.2.4! Decisión!2010/87/UE!..................................................................................................!53!
5.2.3! LEGISLACIÓN!ESPAÑOLA!........................................................................................!54!
5.2.3.1! Constitución!Española!................................................................................................!54!
5.2.3.2! Ley!Orgánica!de!Protección!de!Datos!(LOPD)!y!Real!Decreto!1720/2007!(RLOPD)!....!54!
5.2.3.2.1! Introducción!..........................................................................................................!54!
5.2.3.2.2! Contenido!de!la!Norma!.........................................................................................!55!
5.2.3.2.3! Sistemas!automatizados!........................................................................................!55!
5.2.3.2.4! Nivel!de!privacidad!de!los!datos!............................................................................!57!
5.2.3.2.5! Medidas!de!seguridad!...........................................................................................!58!
5.2.3.2.6! Documento!de!seguridad!......................................................................................!62!
5.2.3.2.7! Disposiciones!generales!LOPD!...............................................................................!64!
6.! CUMPLIMIENTO!LOPD.!¿Asegurar!o!demostrar?!...............................................!65!
6.1! Asegurar!o!cláusulas!contractuales!......................................................................!67!
6.1.1! Cláusulas!contractuales!definidas!desde!la!agencia!española!de!protección!de!
datos! 67!
6.1.1.1! Clausulas!&!Apéndices!................................................................................................!68!
6.2! Demostrar!o!certificaciones!.................................................................................!71!
6.2.1! ¿Por!qué!confiar!en!certificaciones!y!Estándares?!................................................!71!
6.2.2! Normativa!y!estándares!deseable!en!un!proveedor!de!servicios!cloud.!...............!72!
6.2.2.1! ESTÁNDARES!ISO/IEC!..................................................................................................!72!
6.2.2.2! Puerto!Seguro!.............................................................................................................!74!
6.2.2.3! Cláusulas!tipo!de!la!Unión!Europea!............................................................................!74!
12!!
6.2.2.4! HIPAA!..........................................................................................................................!74!
6.2.2.5! PCI!DSS!!.......................................................................................................................!75!
6.2.2.6! SSAE!16!/!ISAE!3402!....................................................................................................!75!
6.2.2.7! FedRAMP(SM)!............................................................................................................!76!
6.2.2.8! FERPA!.........................................................................................................................!76!
6.2.2.9! OTROS!........................................................................................................................!77!
6.2.3! Cloud!Control!Matrix!–!Cloud!Security!Alliance!.....................................................!77!
6.2.4! Resumen!de!Certificaciones!en!PROVEEDORES!.....................................................!79!
6.2.5! ANÁLISIS!general!DE!proveedores!.........................................................................!80!
6.2.5.1! Primer!punto.!LOPD!....................................................................................................!80!
6.2.5.2! Segundo!punto.!Safe!Harbor!y!Cláusulas!Contractuales!Tipo!....................................!81!
6.2.5.3! Tercer!punto.!ISO!27000.!...........................................................................................!81!
6.2.5.4! Cuarto!punto.!General!................................................................................................!82!
6.3! DISCLOVER:!HERRAMIENTA!PARA!ANALIZAR!EL!CUMPLIMIENTO!DE!LA!LOPD!EN!
LOS!PROVEEDORES!CLOUD.!.............................................................................................!82!
6.3.1! INTRODUCCIÓN.!....................................................................................................!82!
6.3.2! ESTRUCTURA!Y!PARTES!.........................................................................................!83!
6.3.2.1! INSTRUCCIONES!.........................................................................................................!84!
6.3.2.2! NIVEL!BÁSICO!.............................................................................................................!85!
6.3.2.3! NIVEL!MEDIO!..............................................................................................................!86!
6.3.2.4! NIVEL!ALTO!.................................................................................................................!88!
6.3.2.5! DISPOSICIONES!GENERALES!LOPD!&!RD!....................................................................!89!
6.3.2.6! RESUMEN!CUMPLIMIENTO!........................................................................................!91!
6.3.2.7! RESUMEN!GRÁFICO!....................................................................................................!92!
CAPÍTULO!IV:!CONCLUSIONES!..................................................................................!94!
7.! ANÁLISIS!RESUMEN!DEL!TRABAJO!REALIZADO!.................................................!94!
7.1! CONCLUSIONES!DEL!PROYECTO!...........................................................................!95!
7.2! FUTURAS!LÍNEAS!DE!DESARROLLO!.......................................................................!96!
BIBLIOGRAFÍA!.........................................................................................................!98!
GLOSARIO!DE!TÉRMINOS!.......................................................................................!101!
ANEXO!I.!Visualización!de!las!pestañas!..................................................................!104!
8.! INSTRUCCIONES!.............................................................................................!104!
8.1! NIVEL!BÁSICO!....................................................................................................!105!
8.2! NIVEL!MEDIO!.....................................................................................................!107!
13!!
8.3! NIVEL!ALTO!........................................................................................................!108!
8.4! RESUMEN!CUMPLIMIENTO!................................................................................!109!
8.5! RESUMEN!GRÁFICO!...........................................................................................!109!
!
!
! !
14!!
Índice!de!tablas!
Tabla!1.!Principios!básicos!de!aplicación!nacional!...............................................................!46!
Tabla!2.!Principios!puerto!Seguro!........................................................................................!53!
Tabla!3.!Nivel!de!privacidad!de!datos!...................................................................................!58!
Tabla!4.!Medidas!de!seguridad!............................................................................................!62!
Tabla!5.!Documento!de!Seguridad!.......................................................................................!64!
Tabla!6.!Disposiciones!generales!..........................................................................................!65!
Tabla!7.!Normativas!de!seguridad!y!privacidad!de!los!datos!...............................................!77!
Tabla!8.!Cumplimiento!normativa!de!proveedores!Cloud!...................................................!79!
!
15!!
! !
Índice!de!imágenes!
Figura!1!Fase!del!proyecto!...................................................................................................!18!
Figura!2!Definición!de!!la!NIST!Cloud!Computing!(CSA)!!.......................................................!21!
Figura!3!Estimación!del!riesgo!Cloud!....................................................................................!27!
Figura!4!Continuación!estimación!del!riesgo!Cloud!.............................................................!28!
Figura! 5! ! Áreas! de! control! plan! de! auditoria! Cloud! Estimación! del! riesgo! Cloud! (Galindo!
Merino,!Martin!Vidal,!Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!...............................!29!
Figura! 6! Continuación! áreas! de! control! plan! de! auditoría! (Galindo!Merino,!Martin! Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!..................................................................!30!
Figura!7.!Gráfico!basado!en!el!estudio!de!IDG!el!auge!de!la!TI!Híbrida!................................!32!
Figura!8.!Carga!de!trabajo!en!centro!de!datos!.....................................................................!33!
Figura!9.!Gráfico!basado!en!el!estudio!de!IDG!!el!auge!de!la!TI!híbrida!...............................!34!
Figura!11.!Cuadrante!mágico!Gartner!IaaS!..........................................................................!36!
!Figura!12.!Cuadrante!mágico!de!Gartner!PaaS!....................................................................!38!
Figura!12.!Safe!Harbor!..........................................................................................................!81!
Figura!13.!Logo!Herramienta!Disclover!................................................................................!82!
Figura!14.!Pestañas!Excel!Herramienta!................................................................................!83!
Figura!15.!Pestaña!Instrucciones!..........................................................................................!85!
Figura!16.!Pestaña!Nivel!Básico!............................................................................................!85!
Figura!17.!Pestaña!Nivel!Medio!............................................................................................!87!
16!!
Figura!18.!Pestaña!Nivel!Alto!...............................................................................................!88!
Figura!19.!Pestaña!Disposiciones!Generales!LOPD!&!RD!.....................................................!90!
Figura!20.!Pestaña!Resumen!cumplimiento!.........................................................................!91!
Figura!21.!Pestaña!Resumen!Grafico!....................................................................................!93!
Figura!20.!Herramienta!Disclover!pestaña!de!Instrucciones!..............................................!104!
Figura!21.!Herramienta!Disclover!nivel!básico!I!.................................................................!105!
Figura!22.!Herramienta!Disclover!nivel!básico!II!................................................................!106!
Figura!23.!Herramienta!Disclover!nivel!básico!III!...............................................................!107!
Figura!22.!Herramienta!Disclover!nivel!medio!I!.................................................................!107!
Figura!23.!Herramienta!Disclover!nivel!medio!II!................................................................!108!
Figura!24.!Herramienta!Disclover!nivel!alto!I!.....................................................................!108!
Figura!25.!Herramienta!Disclover!Resumen!de!cumplimiento!...........................................!109!
Figura!28.!Herramienta!Disclover!resumen!de!cumplimiento!I!.........................................!109!
Figura!29.!Herramienta!Disclover!resumen!de!cumplimiento!II!........................................!110!
Figura!30.!Herramienta!Disclover!resumen!de!cumplimiento!III!.......................................!110!
Figura!31.!Herramienta!Disclover!resumen!de!cumplimiento!IV!.......................................!110!
!
! !
17!!
CAPÍTULO!I:!INTRODUCCIÓN!Y!OBJETIVOS!
1.! INTRODUCCIÓN!Y!OBJETIVOS!
Dentro! del! ámbito! de! la! seguridad! de! la! información,! este! trabajo! surge! al! detectar! la!
ausencia!de!información!relativa!al!cumplimiento!de!protección!de!datos!por!parte!de!los!
proveedores!de!servicios!Cloud.!
Con! el! desarrollo! en! los! últimos! años! de! las! nuevas! tecnologías! de! virtualización! y! los!
constantes!cambios!en!las!necesidades!de!negocio,!una!de!las!alternativas!adoptadas!por!
las! empresas,! frente! a! mantener! costosos! centro! de! datos! en! sus! instalaciones,! es! la!
contratación! de! diferentes! servicios! en! la! nube.! Esto! supone! trasladar! información,! que!
antes!se!ubicaba!dentro!de!la!propia!empresa,!a!un!entorno!externo!al!que!debe!de!exigirse!
una! serie! de! medidas! de! seguridad! que! garanticen! la! privacidad,! integridad,!
confidencialidad!y!no!repudio!de!la!información.!
Debido!a!la!importancia!que!tiene!el!cumplimiento!actual!en!materia!de!protección!de!datos!
por!parte!de! las!empresas!españolas,!uno!de! los!objetivos!de!este! trabajo!es! conocer!el!
estado! actual! de! este! servicio,! para! ello! realizaremos!un! estudio! de! la! ley! vigente! y! nos!
centraremos! en! los! principales! estándares,! certificaciones! y! guías! de! buenas! practicas!
desarrolladas! por! entidades! que! basándose! en! el! trabajo! y! conocimiento! de! expertos,!
grupos! y! organizaciones! de! la! industria,! tratan! de! crear! unos! controles! que! consigan! de!
forma!eficaz!mitigar!los!riesgos!que!conlleva!la!computación!en!la!nube.!!
Por!último,!para!que! las!propias!compañías!puedan!comprobar!el!nivel!de!cumplimiento!
interno!o!que!tienen!los!diferentes!proveedores!de!servicios!en!Cloud,!se!desarrollará!una!
una!herramienta!que!puede!ser!utilizada!como!punto!de!partida!por!aquellas!empresas!que!
actualmente!están!tratando!de!migrar!sus!sistemas!de!la!información!o!parte!de!ellos!a!la!
nube.!
Diferenciamos!claramente!cinco!objetivos:!
1.! Definir!el!concepto!de!“La!nube”!o!Cloud,!se!usará! indistintamente!un!término!y!
otros!cuando!nos!refiramos!a!este!tipo!de!servicio.!
2.! Analizar!información!de!los!principales!analistas!Cloud.!
18!!
3.! Analizar! normativa! europea! y! española! de! protección! de! datos! de! carácter!
personal.!
4.! Realizar! estudio! de! cumplimiento! por! parte! de! los! proveedores! Cloud! mñas!
relevantes.!
5.! Realizar!una!herramienta!que!permita!a!nivel!interno!auditar!el!servicio,!única!y!
exclusivamente!de!un!punto!de!vista!de!protección!de!datos.!
!
2.! FASES!DEL!PROYECTO!!
Partiendo!de!los!objetivos!fijados!se!han!identificado!las!siguientes!fases:!
!
Figura!1!Fase!del!proyecto!
2.1! INVESTIGACIÓN!CLOUD!
Esta! primera! fase! del! proyecto! la! dividimos! a! su! vez! en! dos! subfases,! por! un! lado!
pretendemos! dar! una! visión! general! del! término! Cloud! Computing,! sus! principales!
características!que!lo!hacen!una!de!las!soluciones!más!demandas!del!mercado,!así!como!las!
diferentes!modalidades! en! las! que! se! presta! este! servicio.! Y! por! otro,! para! entender! el!
estado!!actual!y!la!proyección!de!los!proveedores!más!importantes!que!presentan!este!tipo!
de!servicios,!se!muestra!a!modo!de!resumen,!el!estudio!de!2014!realizado!por!los!principales!
analistas!de!Cloud,!IDG/IDC!y!Gartner.!
2.2! ESTUDIO!NORMATIVA!
Una!vez!establecido!el!contexto!en!el!que!vamos!a!movernos,!en!este!bloque!del!proyecto!
definiremos!el!concepto!de!privacidad,!término!bajo!el!que!se!fundamenta!la!elaboración!
de!este!trabajo!y!analizaremos!en!profundidad!la!normativa!vinculante!a!la!protección!de!
datos! de! carácter! personal,! tanto! a! nivel! europeo! como!español,! para! fijar! una! serie! de!
Investigación!Cloud Estudio!Normativa Evaluación!estado!proveedores!CLOUD
Elaboración!Herramienta!Disclover
19!!
puntos! de! control! que! permita! medir! el! grado! de! cumplimiento! de! los! principales!
proveedores!de!Cloud.!!
2.3! ELABORACIÓN!ESTADO!PROVEEDORES!CLOUD!
Posteriormente,! con!el! objetivo!de! conocer!el! estado!actual!de!esta! tecnología!desde!el!
punto!de!vista!de!protección!de!datos,!evaluaremos!a!los!principales!proveedores!de!Cloud!!
sirviéndonos! de! la! información! que! facilitan! a! través! de! sus! contratos! de! adhesión,!
certificaciones! internacionales! y! de! posible! información! que! a! su! vez! estos! nos! puedan!
proporcionar.!
2.4! EVALUACIÓN!DE!LA!HERRAMIENTA!DISCLOVER!
Y!por!último,!procederemos!a!desarrollar!una!herramienta!basada!en!los!puntos!de!control!
definidos!anteriormente!(“DISCLOVER”),!que!nos!permita!analizar!el!grado!de!cumplimiento!
de!la!normativa!y!mostrar!los!resultados!obtenidos!de!forma!gráfica!y!sencilla,!de!manera!
que!aporte!valor!a!aquellas!empresas!que!puedan!estar!planteándose!migrar!parte!de!su!
infraestructura!o!servicios!a!la!nube.!
Esta!herramienta!servirá!como!complemento,!que!los!clientes!podrán!utilizar,!junto!con!la!
utilización!de!cláusulas!contractuales!y!servirse!de!las!certificaciones!internacionales.!
Junto! con! la! herramienta,! para! permitir! a! terceros! su! utilización,! se! proporcionará! un!
manual!de!uso!dónde!se!dará!una!explicación!de!su!estructura!y!de!los!resultados!generados!
por!la!misma.!
! 20!
CAPÍTULO!II:!ESTADO!DEL!ARTE!
3.! “LA!NUBE”!
3.1! INTRODUCCIÓN!
Según! Stephen! Fry,! nos! encontramos! en! medio! de! una! revolución! en! el! negocio! de! la!
computación,!donde!la!computación!se!ha!convertido!en!una!“utilidad”.!
Stephen! Fry,1! hace! una! analogía! del! mundo! de! la! computación! al! de! la! electricidad,!
indicando!que!de!la!misma!forma!en!que!la!necesidad!que!la!gente!tuvo!de!tener!luz,!es!lo!
que!desarrolló!la!electricidad,!la!necesidad!actual!que!tenemos!de!poseer!acceso!a!servicios!
en!la!red!de!forma!continua,!escalable,!pagando!por!el!uso,!etc.,!es!lo!que!ha!contribuido!a!
la!actual!expansión!y!desarrollo!del!“cloud!computing”.!!
Esto!significa,!que!la!“utilidad”!es!donde!se!encuentra!el!origen!del!mayor!cambio!individual!
que!se!ha!producido!en!el! sector!de! la! computación!en!un!siglo.!Un!cambio! tan!grande,!
según!sus!palabras,!que!lo!podemos!comparar!a!lo!que!supuso!la!Revolución!Industrial,!una!
revolución!que!también!fue!alimentada!por!el!constructo!denominado!“utilidad”.!!
Ya!estemos!de!acuerdo!o!no!con!la!afirmación!de!Fry,!la!computación!en!la!nube!ha!supuesto!
una!revolución,!como!podemos!ver!la!relación!directa!que!tiene!con!todas!las!tecnologías!o!
modelos!de!éxito!en!el!mundo!de!la!computación,!como!el!Big!Data,!BYOD,!Internet!de!las!
Cosas,!etc.!!
Ahora!bien:!¿Qué!es!la!Computación!en!la!nube?!
Se! pueden! encontrar! diversas! definiciones,! se! ha! considerado! que! la! más! acertada!
atendiendo!al!ámbito!de!este!trabajo!es!la!siguiente:!
“La'Computación'en'la'Nube'es'un'modelo'que'permite'el'acceso'bajo'demanda'y'a'través'de'la'
red'a'un'conjunto'de'recursos'compartidos'y'configurables'(como'redes,'servidores,'capacidad'
de'almacenamiento,'aplicaciones'y'servicios),'que'pueden'ser'rápidamente'asignados'y'liberados'
con'una'mínima'gestión'por'parte'del'proveedor'del'servicio”!(NIST,!2011).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1!Fry,!Stephen.!Changes!to!computer!thinking.!https://www.youtube.com/watch?v=J9LK6EtxzgM!!
21!!
Basándonos!en! la!definición!del!NIST,!podemos!distinguir! tres!apartados! importantes;! el!
primero!de!ellos!son!las!características!que!el!organismo!ha!definido!como!esenciales!para!
un!Servicio!en!la!Nube!(SelN);!el!segundo!es!la!distinción!entre!tres!niveles!de!servicio!y!por!
último,!la!diferencia!de!los!cuatro!modelos!de!despliegue.!!
Figura!2!Definición!de!!la!NIST!Cloud!Computing!(CSA)!2!
3.2! CARACTERÍSTICAS!ESENCIALES!
Dado! que! este! tipo! de! tecnología! presenta! innumerables! ventajas,! presentamos! a!
continuación!las!características!principales!de!los!servicios!de!la!nube.!
3.2.1! AUTOmSERVICIO!BAJO!DEMANDA!
El!usuario!puede!acceder!a!capacidades!de!computación!en! la!nube! (como!capacidad!de!
cómputo! o! almacenaje)! de! forma! automática! a! medida! que! las! vaya! requiriendo,! sin!
necesidad!de!una!interacción!humana!con!su!proveedor!de!servicio.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2!CSA.!Guía'CSA'para'la'seguridad'en'áreas'críticas'de'atención'en'Cloud'Computing'V2.!!
!
22!!
3.2.2! AMPLIO!ACCESO!A!LA!RED.!
Los!recursos!son!accesibles!a!través!de!la!red!y!por!medio!de!mecanismos!estándar!que!son!
utilizados!por!una!amplia!variedad!de!dispositivos,!desde!teléfonos!móviles!a!ordenadores!
portátiles!o!tabletas.!
3.2.3! DISTRIBUCIÓN!DE!RECURSOS!INDEPENDIENTES!DE!LA!POSICIÓN.!
Los! recursos!del! proveedor! son! agrupados!para! servir! a!múltiples! usuarios! utilizando!un!
modelo!multi=distribuido,!con!diferentes!recursos!físicos!y!virtuales!asignados!y!reasignados!
dinámicamente,!conforme!a!la!demanda!del!consumidor.!!
Existe!independencia!de!la!ubicación!o!posición,!de!forma!que!los!usuarios!no!tienen!control!
ni!conocimiento!sobre!la!localización!exacta!de!los!recursos!a!los!que!acceden,!aunque!sí!es!
posible!que!sean!conscientes!de!la!situación!a!determinado!nivel,!como!el!de!CPD!o!el!de!
país.!
3.2.4! ELASTICIDAD!RÁPIDA.!
Los!recursos!se!pueden!proporcionar!de!modo!rápido!y!elástico,!es!decir,!de!asignar!y!liberar!
rápidamente,! muchas! veces! de! forma! automática.! Estas! características! de!
aprovisionamiento! dan! al! usuario! la! impresión! de! que! los! recursos! a! su! alcance! son!
ilimitados!y!están!siempre!disponibles.!
3.2.5! SERVICIO!MEDIDO.!
El!proveedor!es!capaz!de!controlar!y!optimizar!automáticamente!el!uso!de!los!recursos,!de!
forma!que!se!potencie!la!capacidad!de!medición!a!un!nivel!de!abstracción!apropiado!al!tipo!
de! servicio! (almacenamiento,! procesamiento,! ancho! de! banda! y! cuentas! privadas! de!
usuario).!El!uso!de!recursos!puede!ser!monitorizado,!controlado!e!informado,!de!forma!que!
tanto!proveedor!como!usuario!tienen!acceso!transparente!al!consumo!real!de!los!recursos,!
lo!que!posibilita!el!pago!por!el!uso!efectivo!de!los!servicios.!
3.3! MODELOS!DE!DESPLIEGUE!O!IMPLEMENTACIÓN!
a.! Nube!pública!
La!infraestructura!de!“Nube!pública”!está!preparada!para!el!uso!abierto!por!el!público!en!
general.!Puede!ser!en!propiedad,!administrada!y!operada!por!una!organización!de!negocios,!
23!!
académica!o!del!gobierno,!o!una!combinación!de!los!tres!y!existe!dentro!de!las!instalaciones!
del!proveedor!de!la!nube.!
b.! Nube!privada!
La! infraestructura!de!“Nube!Privada”,!está!preparada!para!el!uso!exclusivo!de!una!única!
organización! que! comprende! varios! consumidores! (por! ejemplo,! unidades! de! negocio).!
Puede! ser! en! propiedad,! administrada! y! operada! por! la! organización,! un! tercero! o! una!
combinación!de!ellos!y!puede!existir!dentro!o!fuera!de!las!instalaciones.!
c.! Nube!privada!compartida!o!!“Hosted”!
La! infraestructura!de!“Nube!Comunitaria”!está!preparada!para!el!uso!de!una!comunidad!
específica! de! consumidores! de! organizaciones! que! tienen! intereses! compartidos! (por!
ejemplo,!requerimientos!de!seguridad!y!políticas).!Puede!ser!de!propiedad,!administrada!y!
operada! por! una! o! más! de! las! organizaciones! en! la! comunidad,! por! un! tercero! o! una!
combinación!de!ambos!y!puede!existir!dentro!o!fuera!de!las!instalaciones.!
d.! Nube!híbrida!
La!infraestructura!de!“Nube!Híbrida”!es!una!combinación!de!una!o!más!infraestructuras!en!
nube! distintas! (privada,! pública! o! comunitaria)! que! permanecen! como! entidades! únicas!
pero!están!unidas!por!tecnologías!estándares!o!propietarias!que!permiten!la!portabilidad!
de!los!datos!y!las!aplicaciones.!
3.4! MODELOS!DE!SERVICIO!
XaaS,!por!sus!siglas!en!inglés!(X'as'a'Service),!es!un!término!reciente!que!significa!“cualquier!
cosa! como! servicio”,! o! “todo! como! servicio”,! y! trata! de!mostrar! la! realidad! actual! de! la!
computación!en!la!nube,!donde!cualquier!cosa,!en!este!caso!X,!se!puede!virtualizar.!!
Los!modelos!más!conocidos!son!SaaS,!PaaS!y!IaaS,!definidos!por!el!NIST3!también!conocido!
como!“Modelo!SPI”,!que!a!continuación!pasamos!a!detallar.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
3!Mell,!P.,!&!Grance,!T.!(2011).!The!NIST!Definition!of!Cloud!Computing!Recommendations!of!the!National!Institute!of!Standards!and!Technology.!Nist'Special'Publication,!145,!7.!doi:10.1136/emj.2010.096966!
!
24!!
a.!Infraestructura!como!servicio!(IaaS,!por!sus!siglas!en!inglés)
Al! usuario! se! le! facilitan! los! recursos! informáticos! esenciales,! como! el! procesamiento,!
almacenamiento! o! comunicaciones;! en! los! cuales,! el! usuario! puede! instalar! y! ejecutar!
cualquier! software,!desde! sistemas!operativos!a! aplicaciones.! El! usuario!no!administra!o!
controla! la! infraestructura! en! la! nube! subyacente,! pero! tiene! control! sobre! sistemas!
operativos,!almacenamiento,!las!aplicaciones!instaladas,!y!posiblemente!un!control!limitado!
para!seleccionar!componentes!de!red,!como!por!ejemplo,!un!cortafuegos.!
b.!Plataforma!como!servicio!(PaaS,!por!sus!siglas!en!inglés)
Al!usuario!se!le!permite!desplegar!aplicaciones!propias,!ya!sean!adquiridas!o!desarrolladas!
por!el!propio!usuario,!en!la!infraestructura!en!la!nube!de!su!proveedor.!!
El!usuario!no!controla!o!administra!la!infraestructura!en!la!nube!(red,!servidores,!sistemas!
operativos,!almacenamiento,!etc.),!pero!tiene!el!control!sobre!las!aplicaciones!desplegadas!
y!los!ajustes!de!configuración!del!entorno!donde!se!aloja!las!aplicaciones.!!
c.!Software!como!servicio!(SaaS,!por!sus!siglas!en!inglés)
El!servicio!ofrecido!al!usuario!es!la!capacidad!de!desplegar!aplicaciones!en!la!infraestructura!
en!la!nube,!desarrolladas!por!él!o!adquiridas,!creadas!utilizando!lenguajes!de!programación,!
librerías,!servicios!y!herramientas!soportadas!por!el!proveedor.!El!usuario!no!administra!o!
controla!la!infraestructura!en!la!nube!subyacente!que!incluye!la!red,!servidores,!sistemas!
operativos! o! de! almacenamiento,! aunque! mantiene! el! control! sobre! las! aplicaciones!
desplegadas!y!posiblemente!sobre!los!ajustes!de!configuración!del!entorno!donde!se!aloja!
la!aplicación.!!
4.! DOCUMENTACIÓN!DE!REFERENCIA!!
Dentro!de!este!escenario!y! las!múltiples!ventajas!que!hemos!comentado!que!ofrecen!los!
entornos!Cloud,!cada!vez!nos!encontramos!con!más!empresas!que!se!plantean!migrar!su!
infraestructura!a!la!nube.!Hay!que!tener!en!cuenta,!según!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)4!,!dónde!se!hace!un!estudio!exhaustivo!de!plan!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4!Galindo!Merino,!F.,!Martin!Vidal,!G.,!Puerta!Hoyas,!B.,!&!Francesco!Schiavo,!U.!(2013).!Planes'de'Auditoria'
y'Buenas'prácticas'para'entornos'cloud'computing'y'bring'your'own'device!.!
!
25!!
de! auditoria! Cloud! en! función! de! lo! principales! estándares! (COBIT! 4.1,! ITIL! v3,! ISO/IEC!
27002:2005,!NIST!SP!800=53!y!controles!propuestos!por!SANS!en!el!año!2013),!que!existen!
una! serie! de! riesgos! asociados! a! estos! entornos,! independientemente! del! modelo! de!
servicio!y!de!despliegue!seleccionado.!Los!citamos!a!continuación:!!
1.! Pérdida!del!gobierno!de!datos.!Dado!que!al!migrar!datos!fuera!de! la!empresa!se!
pierde!su!control.!
2.! Adquisición!del!proveedor!del!Cloud.!Ya!que!queda!vinculada! la! continuidad!del!
servicio!o!los!acuerdos!tomados!a!la!estrategia!que!tome!la!compañía.!
3.! Error!o!cancelación!del!servicio!de!la!nube.!El!riesgo!se!vincula!a!los!servicios!o!datos!
del!cliente!que!en!el!se!alojen.!
4.! Falta!de! recursos!de! la! nube.!Si! no! se! dimensionan!bien! los! recursos! necesarios!
puede!llevar!a!no!prestarse!el!servicio!adecuadamente.!
5.! Proveedor!del!Cloud!malicioso!con!abuso!de!sus!altos!privilegios.!La!gestión!de!la!
infraestructura!recae!en!buena!parte!en!el!proveedor!Cloud,!el!cual!puede!acceder!
con!permisos!de!administración!y!de!no!actuar!con!el!rigor!apropiado!puede!verse!
comprometida!parte!de!la!seguridad!de!la!información.!
6.! Interceptar!datos!en!la!subida!o!bajada!de!información.!La!conexión!entre!el!cliente!
y!el!proveedor!puede!ser!interceptada!por!terceros.!
7.! Fugas! de! información! en! los!movimientos! de! datos! dentro! del! entorno! Cloud.!!
Debido!al!tránsito!de!información!entre!los!servidores,!pueden!producirse!pérdidas!
de!datos!o!de!acceso!a!la!información!durante!un!tiempo!determinado.!
8.! Eliminar! los! datos! de! una! forma! insegura! o! ineficaz.! Al! alojarse! los! datos! en!
diferentes!infraestructuras!Cloud,!hay!que!establecer!procedimientos!que!aseguren!
el!borrado!total!de!los!datos.!
9.! Distribución! de! Denegación! de! servicio! (DDoS).!Riesgo! inherente! a! los! sistemas!
Cloud!al!encontrarse!la!información!accesible!desde!la!red.!
10.!Denegación!Económica!de! servicio! (EDoS).!Motivada!por! el! cambio!de! coste!del!
servicio!o!el!aumento!de!recursos.!
11.!Pérdida!de!las!claves!de!codificación.!Fallo!en!la!custodia!de!las!claves!utilizadas.!
12.!Riesgos!derivados!del!cambio!de!jurisdicción.!Ya!que!los!datos!pueden!alojarse!en!
función!de!las!necesidades!en!diferentes!ubicaciones!geográficas,!pueden!llegar!a!
incumplirse!leyes!locales!de!cada!país.!
26!!
13.!Riesgos!de! la!protección!de!datos.!Aunque! la! responsabilidad!recae!en!el!cliente!
que!contrata!los!servicios,!los!datos!se!encuentran!alojados!en!la!infraestructura!del!
proveedor!Cloud!y!muchas!veces!es!difícil!establecer!mecanismos!de!control!o!de!
auditoría!que!verifiquen!al!100%!el!cumplimiento!legal!en!este!aspecto.!
14.!Riesgos!relativos!a!la!licencia.!Posible!incompatibilidad!entre!licencias!o!aumento!
del!coste!de!la!mismas.!
15.!Brechas! en! la! red.! Ante! cualquier! fallo! de! seguridad! en! un! entorno! Cloud,! la!
magnitud! de! las! consecuencias! es! mucho! mayor,! al! verse! afectados! un! mayor!
número!de!clientes/usuarios.!
16.!Gestión! de! la! red.! Es! importante! contar! con! una! correcta! configuración! y!
monitorización!de!la!red!para!garantizar!que!el!servicio!se!de!adecuadamente.!
17.!Modificación!del!tráfico!de!la!red.!!
18.!Escalada!de!privilegios.!En!este!caso!el!riesgo!reside!en!otorgar!permisos!de!manera!
incorrecta!a!los!usuarios!que!cuentan!con!acceso!a!los!datos.!
19.!Ataques!de!ingeniería!social.!A!través!de!los!usuarios!o!trabajadores!del!proveedor!
es!posible!acceder!a!información!confidencial.!
20.!Pérdida!o!robo!de!copias!de!seguridad.!Lo!que!daría!lugar!a!acceso!a!información!
confidencial!si!no!se!establecen!unos!procesos!y!controles!adecuados!de!transporte,!
custodia,!borrado,!etc..!
21.!Acceso!no!autorizado!a!los!locales.!La!ausencia!de!seguridad!física!o!el!deficiente!
control!de!acceso!podría!dar!lugar!al!acceso!a!toda!la!infraestructura!que!aloja!datos!
de!carácter!personal.!
22.!Robo!de!equipos!informáticos.!Lo!que!implica!acceder!a!la!información!que!estos!
alojan.!
23.!Catástrofes!naturales.!Riesgo!patente!en!cualquier!sistema!de!la!información,!ya!se!
trate!de!un!servicio!Cloud!o!no.!
24.!Conflictos!entre!los!usuarios!en!el!endurecimiento!de!las!políticas!Cloud.!Cambios!
en!la!metodología!de!trabajo!de!la!empresa!y!el!riesgo!de!incumplimiento!por!parte!
de!los!trabajadores.!
25.!Desafíos! de! cumplimiento.! Ausencia! de! procedimiento! de! garantice! que! el!
proveedor!cumple!con!lo!dispuesto!por!ley!o!de!forma!contractual.!
!
27!!
Si!bien!es!cierto!que!no!todos!los!riesgos!mencionados!están!relacionados!directamente!con!
el!cumplimiento!por!parte!del!cliente!y!del!proveedor!Cloud!de!la!ley!de!protección!de!datos,!!
en! función! de! la! estimación! del! riesgo! que! hicieron! de! los!mismos! en! (Galindo!Merino,!
Martin!Vidal,!Puerta!Hoyas,!&!Francesco!Schiavo,!2013)5,!teniendo!en!cuenta!la!probabilidad!
de!que! los! riesgos!citados!se!materialicen!y!el! impacto!que!causaría!dentro!de!cualquier!
organización,! ajustándonos! a! los! valores! de! estimación! de! la! ISO/IEC! 27005:2008,! nos!
encontramos! con! que! los! riegos! cuya! valoración! fue!mayor! están! vinculados! de!manera!
directa!con!el!cumplimiento!legal,!pérdida!del!control!de!la!información,!riesgos!del!cambio!
de! jurisdicción! y! de! protección! de! los! datos,! hecho! que! consideramos! estrechamente!
relacionado! con! lo! marcado! por! ley! para! garantizar! la! protección! de! datos! de! carácter!
personal! y! que! deja! patente! la! necesidad! de! establecer! puntos! de! control! específicos! y!
adecuados!que!garanticen!y!minimicen!la!probabilidad!de!que!estos!riesgos!se!materialicen.!
!
Figura!3!Estimación!del!riesgo!Cloud!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5!Galindo!Merino,!F.,!Martin!Vidal,!G.,!Puerta!Hoyas,!B.,!&!Francesco!Schiavo,!U.!(2013).!Planes'de'Auditoria'
y'Buenas'prácticas'para'entornos'cloud'computing'y'bring'your'own'device!.!
!
28!!
!
Figura!4!Continuación!estimación!del!riesgo!Cloud!!
A!su!vez,!en!el!plan!de!auditoria!diseñado!en!(Galindo!Merino,!Martin!Vidal,!Puerta!Hoyas,!
&! Francesco! Schiavo,! 2013),! en! función! de! los! 44! controles! que! se! establecían,! los!
estándares!estudiados!COBIT,!ISO/IEC!27002:2005!y!NIST!cumplían!en!su!totalidad!todos!los!
controles,!dejando!ITIL!v3!un!4%!sin!cubrir!y!SANS!un!40%,!porcentaje!que!en!buena!parte!
se! debía! al! no! control! de! cumplimiento! legal! por! parte! de! los! proveedores! Cloud! y! que!
estaría! directamente! vinculado! con! el! estudio! que! se! realiza! en! este! trabajo.! Nos!
centraremos!por!lo!tanto,!dentro!las!9!áreas!establecidas!por!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013),!en!el!área!de!Descubrimiento!legal!y!electrónico.!
29!!
!
Figura!5!!Áreas!de!control!plan!de!auditoria!Cloud!Estimación!del!riesgo!Cloud!(Galindo!Merino,!Martin!Vidal,!
Puerta!Hoyas,!&!Francesco!Schiavo,!2013)!
!
30!!
!
Figura!6!Continuación!áreas!de!control!plan!de!auditoría!(Galindo!Merino,!Martin!Vidal,!Puerta!Hoyas,!&!
Francesco!Schiavo,!2013)!!
!
A!continuación,!vamos!a!ver!la!situación!actual!del!mercado!a!través!de!las!publicaciones!
realizadas!durante!2014!de!los!principales!analistas,!IDG/IDC&y&Gartner.!Hay!que!tener!en!
cuenta!que!es!tal!el!ritmo!de!desarrollo!de!esta!tecnología!que!a!día!de!hoy!muchos!de!los!
proveedores!estudiados!han!avanzado!en!el!cumplimiento!de!normativa!de!protección!de!
datos,!siendo,!como!por!ejemplo!en!el!caso!de!Microsoft,!el!primer!proveedor!de!Cloud!del!
cual! la!AEPD!afirma!que!los!contratos!emitidos!ofrecen!garantías!adecuadas!para!que!los!
clientes!confíen!sus!datos!personales!a!la!compañía!en!el!marco!de!los!servicios!corporativos!
de!Office!365,!Dynamics!CRM!Online!y!Microsoft!Azure!(Microsoft,!2014)6.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6! Microsoft.! (6! de! Junio! de! 2014).! Microsoft.! Recuperado! el! Agosto! de! 2015,! de! Microsoft:!
https://news.microsoft.com/es=es/2014/06/06/aepd=servicios=cloud=microsoft/!
!
!
31!!
4.1! IDG/IDC!
Qué!ofrece:!con!47!años!de!antigüedad!tiene!más!de!1.000!analistas!distribuidos!por!todo!
el!mundo.!Su!enfoque!es!fuertemente!orientado!a!datos!alrededor!de!métricas!de!negocio,!
como!la!cuota!de!mercado,!el!volumen!de!ventas!y!las!predicciones!de!crecimiento.!
!Qué!tienen!a!su!favor:!a!pesar!de!ser!una!gran!empresa!presta!servicio!para!la!pequeña!y!
mediana! empresa! y! a! su! vez! provee! de! servicios! permanentes! de! asesoramiento,!
investigación!personalizada!y!consultoría.!
Qué!limitaciones!tiene:!no!sería!el!indicado!si!lo!que!se!busca!es!un!informe!sobre!mejores!
prácticas,!completar!una!propuesta!(RFP),!o!un!estudio!sobre!la!organización!de!TI.!!
4.1.1! EL!AUGE!DE!LA!TI!HÍBRIDA:!ENTORNOS!CLOUD!EN!LAS!EMPRESA!Y!PRINCIPALES!PREOCUPACIONES!DE!LOS!RESPONSABLES!TI!EN!LOS!ENTORNOS!CLOUD!
En!su!artículo!“EL!AUGE!DE!LA!TI!HÍBRIDA”!7!presenta!un!estudio!tras!la!realización!de!625!
entrevistas! a! responsables! de! TI! acerca! de! qué! estructura! tienen! actualmente! las!
organizaciones! (tradicional! o! Cloud)! y! qué! hoja! de! ruta! han! definido.! ! Las! respuestas!
provienen! a! partes! iguales! del! Reino! Unido,! Francia,! Alemania,! España,! Austria,! Suiza,!
Irlanda,!Países!Bajos,!Bélgica,!Dinamarca!y!Suecia.!
Dentro!de!la!información!aquí!destacada,!nos!hemos!centrado!en!ver!que!diferentes!modos!
de!servicios!Cloud!son!requeridos,!así!como!los!temas!relacionados!con!la!percepción!de!la!
seguridad! y! protección! de! los! datos! y! cómo! son! percibidos! en! estos! entornos! por! los!
responsables!de!las!tecnologías!de!la!información.!
El! estudio!excluyó!al! sector!público,! además! las! empresas! tenían!que! tener!más!de! cien!
empleados!y!no!podían!estar!totalmente!externalizadas.!Las!personas!entrevistadas!debían!
tener!puestos!de!responsabilidad!TI!dentro!de!la!empresa.!
A!lo!largo!de!esta!sección,!podrán!encontrarse!algunas!de!las!conclusiones!que!el!IDG!nos!
brinda.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7!(interxon)http://www.interxion.com/es/sectores/corporaciones/el4auge4de4la4ti4hibrida/!!
!
32!!
La! introducción!de!este!estudio!nos! indica!el!auge!de!esta!tecnología!en! las!empresas.!El!
sector! TI! ha! respondido! con!modelos! informáticos! como! el! Cloud! computing,! dado! que!
facilita! las!pruebas!y!ensayos!de!nuevas! ideas!para!reducir!el!coste!de! implementación!y!
agiliza!los!plazos!de!comercialización.!Los!cambios!complementarios!en!las!redes!sociales,!
la!proliferación!de!dispositivos!móviles,!la!adopción!de!banda!ancha,!el!Internet!de!las!cosas!
y!los!análisis!de!datos!multiplican!las!oportunidades!de!negocio,!pero!también!requieren!de!
nuevos!enfoques!de!la!gestión!de!datos.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !
1.! Entornos!utilizados!en!la!empresa.!
El! primer! punto! que! vamos! a! ver! del! estudio! es! cómo! gestionan! actualmente! sus!
operaciones!de!infraestructura!de!TI!las!empresas.!Entrando!ya!en!los!datos!extraídos,!siete!
de!cada!diez!declararon!que!utilizan! los!centros!de!datos!corporativos,! la!mitad! (50%)!el!
Cloud!privado!y!el!38%!afirmaron!que!usa!el!Cloud!público.!Pero!posiblemente,!el!aspecto!
más!notable!es!la!manera!en!que!las!organizaciones!están!mezclando!sus!enfoques,!un!45%!
indicaron!que!utiliza!un!enfoque!híbrido!que!combina!los!centros!de!datos!propios!con!la!
nube,!pública!o!privada.!Este!panorama!mixto!es! indicativo!de!un!mercado!en!constante!
cambio.!
!
Figura!7.!Gráfico!basado!en!el!estudio!de!IDG!el!auge!de!la!TI!Híbrida!
!
33!!
Un!modelo!puro!de!despliegue!Cloud! tiene!más! atractivo!para! las! empresas! con!poca!o!
ninguna!infraestructura!existente.!Para!el!resto!de!las!empresas,!un!modelo!de!TI!híbrido!
resulta!más!atractivo!porque!se!puede!combinar!servicios!críticos!en!las!instalaciones!con!
aplicaciones!o!servicios!estándar!en!la!nube.!
Enfocándonos! en! el! punto! de! la! protección! de! datos,! el! estudio! nos! dice! que! los!
responsables!de!TI,!a!la!hora!de!decidir!el!lugar!donde!van!a!residir!los!datos,!se!basan!en!
decisiones!que!suelen!ser!tácticas!o!estratégicas.!Es!decir,!una!carga!de!trabajo!con!datos!
de!misión!crítica!o!información!sumamente!sensible!podría!mantenerse!dentro!del!firewall!
corporativo.!Por!otra!parte,!una!aplicación!que!no!se!distinga!especialmente!del!resto!podría!
alojarse!en!la!nube!pública.!Una!empresa!podría!probar!una!aplicación!en!una!nube!privada!
y,!a!continuación,!pasarla!a!una!plataforma!en!la!nube!pública!por!motivos!de!rentabilidad,!
o! viceversa.! Este!nuevo!modelo!híbrido!de!TI! se!puede! considerar!una!especie!de!Tetris!
virtual!en!el!que!las!cargas!de!trabajo!se!mueven!entre!las!distintas!zonas.!
2.! Razones!para!mantener!las!cargas!de!trabajo!dentro!de!su!centro!de!datos!
Siguiendo!con!el!informe!y!focalizando!en!el!aspecto!de!donde!se!ubican!los!datos!y!por!qué!
mantienen!las!cargas!de!trabajo!dentro!de!sus!propios!centros!de!datos,!los!responsables!TI!
se! decantaron! en! primer! lugar! por! la! seguridad! de! la! información! (53%),! seguida! por! la!
protección!de!datos!y!las!normas!de!gobernanza!(41%)!en!segunda!posición.!
Figura!8.!Carga!de!trabajo!en!centro!de!datos!
A!las!empresas!les!preocupa!la!pérdida!de!datos!y! los!daños!ocasionados!en!los!sistemas!
informáticos! por! el! malware! y! temen! las! repercusiones! (normalmente! públicas)! de! los!
34!!
acuerdos! aplicados! por! los! legisladores,! reguladores! y! otros,! así! como! la! sanción! de! los!
medios.!
3.! Principales!preocupaciones!sobre!el!Cloud!computing!para!los!responsables!TI!
Las!preocupaciones!relativas!al!modelo!Cloud!computing!suelen!incluir!la!seguridad,!por!lo!
que! no! nos! sorprende! que! cuando! se! les! preguntó! acerca! de! sus! preocupaciones! al!
conectarse!con!aplicaciones!basadas!en!la!nube,!los!encuestados!citaran!la!seguridad!como!
la!preocupación!número!uno,!con!un!69%.!La!segunda!respuesta!más!popular!fue!el!coste!
(42%),!seguida!por!el!rendimiento!de!las!aplicaciones!(37%).!Es!evidente!que,!aunque!los!
proveedores!de!servicios!Cloud!digan!que!sus!servicios!pueden!igualar!los!servicios!en!las!
instalaciones! propias,! los! responsables! TI! todavía! tienen! sus! dudas! acerca! del! ancho! de!
banda,!la!latencia!y!el!potencial!impacto!en!la!prestación!de!servicios.!Tan!solo!el!4%!expresó!
no!tener!preocupación!alguna.!
!
!
Figura!9.!Gráfico!basado!en!el!estudio!de!IDG!!el!auge!de!la!TI!híbrida!
Sin!embargo,!más!de!las!tres!cuartas!partes!de!los!encuestados!(77%)!dijeron!que!pasarían!
más!carga!de!trabajo!a!la!nube!pública!o!privada!si!sus!problemas!pudieran!solucionarse.!
35!!
Este!estudio!sugiere!que!el!42%!de!la!carga!de!trabajo!podría!ir!a!parar!a!la!nube!pública!o!a!
una!privada!si!los!problemas!de!red!no!fueran!un!factor!determinante.!
!
4.! Conclusiones!del!Informe!
Del!informe!se!extrae,!por!un!lado!que!el!modelo!de!las!infraestructuras!de!servicios!TI!está!
cambiando!a!un!modelo!de!adaptación!de!servicios!en!la!nube,!siendo!la!tendencia!híbrida!
la!que!lidera!y!!por!otro!lado,!se!extrae!que!la!tendencia!es!de!crecimiento!de!estos!servicios!
Cloud,!siendo!la!percepción!de!la!seguridad!y!de!la!protección!de!los!datos!los!principales!
condicionantes!que!hacen!que!esta!transición!no!se!acelere.!
Por! lo! tanto! es! labor! de! los! proveedores! que! brindan! estos! servicios! el! garantizar! a! las!
empresas!la!seguridad!de!sus!sistemas!y!el!cumplimiento!normativo!respecto!a!la!protección!
de!los!datos.!!
4.2! GARTNER!
Que!ofrecen:!Gartner!es!una!gran!empresa!dentro!del!área!de!la!investigación!TI.!Tiene!una!
gran!comercialización!y!trata!de!dar!enfoque!a!todos! los!aspectos!de! la!empresa.!Tienen!
diferentes!combinaciones!de!informes!y!especialización!dependiendo!del!tipo!de!público.!
Que!tienen!a!su!favor:!La!amplitud!de!la!cobertura!que!Gartner!ofrece!es!una!gran!ventaja!
para!ellos,!además,!siendo!muy!conocida!dentro!de!las!organizaciones!de!TI!corporativas.!La!
compañía! hace! un! excelente! trabajo,! incluyendo! una! gran! diversificación! alrededor! de!
evaluaciones!de!productos!y!algunos!de!sus!informes!sobre!mejores!prácticas.!
Qué!limitaciones!tiene:!Muchas!veces!sus!reportes!no!son!tan!considerados!en!el!mercado,!
por!ser!una!empresa!que!genera!grandes!ingresos!en!este!campo!y!puede!considerarse!que!
ciertas!tecnologías!están!invirtiendo!en!estos!reportes.!
Dentro!de!este!apartado!y!para!ver! las!conclusiones!sacadas!por!el! tercer!gigante!de! los!
análisis! de!mercados! TI,! nos! hemos! centrado,! como!no! podía! ser! de! otra! forma,! en! sus!
reportes!de!los!cuadrantes!mágicos!de!Gartner!sobre!tecnología!IaaS!y!PaaS.!
!
36!!
4.2.1! CUADRANTE!MÁGICO!DE!GARTNER!PARA!INFRAESTRUCTURA!COMO!SERVICIO.!(IAAS)!
Este!reporte8!!fue!publicado!el!28!de!Mayo!de!2014,!Analiza!los!principales!proveedores!de!
servicios! IaaS.! El! enfoque! es! de! diversos! puntos! de! análisis,! como! son! almacenamiento,!
localización,!redes,!etc.!Nosotros!destacaremos!la!seguridad.!Los!resultados!que!obtuvieron!
en!este!cuadrante!mágico!fueron!los!siguientes.!
!!
!Figura!10.!Cuadrante!mágico!Gartner!IaaS!
!1.! Líderes!
En!este!apartado!se!encuentran!los!servicios!que!tienen!una!estrategia!y!una!hoja!de!ruta!
clara.! Sirven!para! dar! solución! a!múltiples! problemáticas,! sin! necesidad!de! que! sean! los!
mejores!en!un!área!muy!específica.!Solamente!dos!empresas!se!ubican!aquí,!Amazon!Web!
Services!y!Microsoft.!
!! Amazon!Web!Services!
Como!parte!de!Amazon.com,!es!un!servicio!enfocado!al!Cloud!con!una!visión!muy!clara!de!
automatización,!reducción!de!costes!y!flexibilidad.!Lidera!el!cuadrante!con!niveles!muy!altos!
en!Visión!e!integración.!Posee!un!gran!número!de!localizaciones!e!idiomas!de!soporte,!con!
un!gran!número!de!opciones!de!Network!también.!Sobre!seguridad,!comentan!que!RBAC!
cuenta! con! un! excelente! control! de! permisos! y! destacan! que! tiene! un! gran! número! de!
certificaciones!de!cumplimiento!y!auditorías.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8!(Gartner,!2014)!Magic!Quadrant!for!Cloud!Infrastructure!as!a!Service !
37!!
!
!! Microsoft!
PaaS!era!antes!solamente!Azure,!ahora!han!invertido!en!también!infraestructura!con!Azure!
Virtual!Machines!y!Azure!Virtual!Network.!Su!origen!es!Abril!de!2013.!Da!servicio!en!varios!
idiomas! 24x7,! con!pago!por!minuto! en! almacenamiento.! En! redes!presta! servicio! con! la!
colaboración!de!un!tercero.!Estas!limitaciones!en!la!red,!hacen!que!carezcan!de!algunos!de!
los!dispositivos! virtuales!más!específicos! en!el! área!de! la! seguridad,! como!puede! ser!un!
IPS/IDS.!
Como!fortaleza!de!Microsoft!está!su!despliegue!en!IaaS,!PaaS!y!SaaS,!con!una!visión!agresiva!
que!se!expande!en!múltiples!mercados.!
La!marca!de!Microsoft!es!muy!popular!desde!hace!muchos!años!en!el!mercado!TI! como!
marca!consolidada!en!entornos!de!internet.!Sin!embargo,!en!el!área!de!infraestructura!es!
relativamente! nuevo! y! todavía! se! están! encontrando! fallos! significativos,! sobre! todo! en!
seguridad!y!red.!
2.! Otros!proveedores!
Por!seguir!con!el!análisis!hecho!anteriormente!vamos!a!ver!de!aquí!la!oferta!de!IBM.!
!! IBM!(Softlayer)!
El!gigante!tecnológico!adquirió!en!Julio!de!2013!Softlayer,!una!empresa!independiente!!con!
foco!en!la!pequeña!y!mediana!empresa,!anunció!su!estrategia!IaaS!en!enero!de!2014.!!Dan!
servicio!en!varios!idiomas!desde!EEUU,!Singapur!y!Holanda.!Tiene!modelo!de!nube!pública!
y!privada!con!oferta!para!IaaS,!PaaS!y!SaaS.!
!!4.2.2! CUADRANTE!MÁGICO!DE!GARTNER!PARA!LA!PLATAFORMA!DE!APLICACIONES!
COMO!SERVICIO.!(PAAS)!
Este!reporte9!!fue!publicado!el!7!de!enero!de!2014.!Analiza!los!principales!proveedores!de!
servicios!PaaS.!El!enfoque!es!de!análisis!del!servicio!de!Cloud!puro,!a!diferencia!del!análisis!
visto!de!Forrester,!aquí!no!se!considera!la!seguridad!como!factor!a!evaluar,!sino!que!se!basa!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!(Gartner,!Magic!Quadrant!for!Enterprise!application!plataforme!e!as!a!Service,!2014) !
38!!
en!la!visión!global!del!proveedor!y!la!facilidad!que!tiene!de!integración!con!otros!sistemas!y!
entornos.!
!Los!resultados!que!obtuvieron!en!el!cuadrante!mágico!fueron!los!siguientes.!
!Figura!11.!Cuadrante!mágico!de!Gartner!PaaS!
!!1.! Lideres!
En!este!apartado!se!encuentran!los!servicios!que!combinan!una!visión!completa!del!negocio!
con! una! facilidad! de! implementación.! Algunas! empresas! llevan! ya! varios! años! en! este!
cuadrante!demostrando!una! fiabilidad!y!conocimiento!de!este!mercado.! La! tendencia!es!
que!cada!vez!más!empresas!tiendan!a!esta!posición.!Solamente!dos!empresas!se!ubican!aquí!
Salesforce.Com!y!Microsoft.!
!! SalesForce!
Salesforce! lidera! el! cuadrante!mágico! de!Gartner! desde! 2007,! lo! que! asegura! tanto! una!
amplia!oferta,!una!gran!cartera!de!clientes,!continuidad!e!innovación!de!sus!servicios,!lo!que!
le!ha!permitido!durante!los!últimos!ocho!años!liderar!el!mercado.!Es!una!nube!nativa!de!alta!
productividad,! dado! todo! como! servicio,! con! capacidades! para! móviles,! altamente!
escalable,!con!gestión!de!identidades!y!control!de!flujo.!
Con!el!apoyo!previsto!para!las!secuencias!de!dispositivos,!análisis!de!datos,!la!expansión!de!
la! arquitectura! de! la! aplicación! y! gestión! de! la! identidad!móvil,! salesforce.com! está! por!
delante! de! la! mayoría! de! sus! competidores! en! el! seguimiento! de! las! tendencias! de! la!
industria.!
39!!
Evita!desarrollos!de!aplicaciones!independientes!o!dependencia!de!otras!empresas,!muchas!
empresas!prefieren!el!modelo!híbrido!y!su!servicio!SaaS!es!más!popular,!lo!que!puede!causar!
problemas!para!referenciarlo!como!líder!de!servicios!PaaS.!
!
!! Microsoft!
La!propuesta!de!Microsoft!está!formando!un!entorno!IaaS!y!PaaS!con!su!propuesta!Azure.!
Este!apoyo!a!las!infraestructuras!facilita!la!entrada!de!los!servicios!plataforma.!La!estrategia!
se!basa!en!una!nave!en!continua!actualización!que!vaya!agregando!mejoras!y!aplicaciones.!
Tiene! servicios! incluidos! de! movilidad! y! SQL,! así! como! servicios! de! middleware! de!
mensajería.!
Como!ventajas!tienen!que!la!gente!familiarizada!con!Windows!se!encuentra!con!un!entorno!
confortable!y! las!empresas! saben!que! se! integra!bien!con! sus!entornos!existentes!y!que!
puede!tener!la!opción,!en!algunos!casos,!para!ejecutar!sus!aplicaciones!internas!o!en!Azure.!
Además,!la!visión!de!Microsoft!es!de!principio!a!fin!y!soporta!los!principales!lenguajes!de!
programación,!permitiendo!desarrollos!que!no!sean!solo!de!Microsoft.!
Como!contras!de!la!oferta,!el!estudio!muestra!que!las!ofertas!de!Microsoft!carecen!de!alta!
productividad!de!apoyo!al!desarrollo!basado!en!gráficos!(herramientas!de!productividad!de!
Visual!Studio)!dirigido!por!modelos.!Por!último!se!percibe!que!las!promesas!de!marketing!
están!por!delante!de!la!realidad!actual!de!productos.!
2.! Competidores!
En!este!apartado!se!encuentran!los!servicios!que!carecen!de!una!visión!completa!del!negocio!
pero! si! tienen! facilidad! de! implementación.! Para! estar! aquí! hay! que! demostrar! un!
importante!número!de!clientes,!pero!necesita!innovación!para!atraer!a!un!mayor!espectro!
y! pasar! a! ser! líder.! Únicamente! se! ubica! aquí! Google.! En! un! futuro! la! tendencia! es! que!
aumentará!el!número!de!empresas!en!este!sector.!
!! Google!
Google!ofrece!su!aplicación!App!Engine!PaaS!como!parte!de!su!plataforma!de!Cloud!con!
diferentes!versiones!según!el!lenguaje.!Google!tiene!una!gran!base!de!clientes,!mezcla!de!
40!!
pequeños! innovadores! y! referencias! importantes.! Además,! Google! posee! una! gran!
reputación!como!servicios!Cloud!y!como!empresa!innovadora.!
Plantea!la!potente!opción!Cloud!de!venta!conjunta!de!Google!Apps!(SaaS)!con!la!Plataforma!
Nube!Google!(IaaS!y!PaaS),!sin!embargo,!Google!no!es!percibido!como!empresa!de!servicios,!
y! su! presencia! PaaS! es! menor;! tampoco! está! concebido! para! infraestructuras! híbridas,!
aunque!hay!algunos!proyectos!independientes.!
3.! Visionarios!
En!este!apartado!se!encuentran!los!servicios!que!poseen!de!una!visión!completa!del!negocio,!
sin!embargo,!carecen!de!facilidad!de!implementación.!
En!el!mercado!PAAS,!algunos!proveedores!visionarios!están!invirtiendo!en!vanguardia!PAAS!
empresariales,! servicios! aún! no! adoptados! fácilmente! por! los! principales! clientes! de! la!
empresa.!Otros!visionarios!sobresalen!en!la!comprensión!de!las!demandas!de!la!empresa!
en!el!camino!de!adopción!de!la!nube!y!en!el!apoyo!de!alta!productividad!para!los!usuarios!
de! línea! de! negocio;! integración,! orquestación! y! gestión! de! la! API! de! servicios! de!
aplicaciones! compuestas,! así! como! también! la! gestión! de! autoservicio! para! la!
implementación!de!aplicaciones!híbridas.!
Dado! que! dentro! de! este! apartado! hay! identificadas! 9! empresas,! y! por! no! perder! la!
coherencia!del!trabajo,!vamos!a!ver!cómo!analizan!el!caso!de!IBM.!
!! IBM!
!La!Estrategia!de!IBM!PaaS!se!basa!en!una!oferta!completa!de!servicios!Cloud,!disponible!
desde! principios! de! 2013,! llamada! BlueMix,! muy! enfocado! a! movilidad! y! desarrollo! de!
aplicaciones!móviles.!
Incluye!el! diseño!de! aplicación!web!de! IBM! (WebSphere!Application! Server! technology),!
también! el! uso! de! la! plataforma! de! aplicaciones! de! IBM! Mobile! (con! IBM! Worklight),!
servicios!de!gestión!de!ciclo!de!vida!de! las!aplicaciones! (basado!en! la! tecnología!de! IBM!
Rational)!y!servicios!adicionales!menores.!
IBM!es!un!gigante!tecnológico!que!dota!de!servicios!de!infraestructura!tradicional!y!TI!de!
principio!a!fin,!con!muchos!socios!clientes!y!una!gran!red!de!alcance.!La!compatibilidad!con!
su!popular!WebSphere!Application!Server,!WebSphere!MQ,!DB2!UDB!y!Rational,!hace!que!
41!!
el! IBM! PaaS! sea! una! opción! atractiva! para! los! clientes! y! socios! que! quieran! mover! las!
aplicaciones!establecidas!en!una!nube!pública,! incluso!IBM!puede!soportar!escenarios!de!
nubes!públicas,!privadas!e!híbridas.!Sin!embargo,!la!base!Cloud!de!IBM!CPEA!se!calcula!en!
menos!de!50!clientes!en! todo!el!mundo,!y!dentro!de! sus! clientes!esta!opción! tiene!baja!
penetración! actualmente,! con! un! incremento! de! la! cartera! de! clientes,! es! necesario! la!
realización!de!pruebas!de!funcionalidad!y!de!concepto!para!asegurar!que!la!plataforma!es!
capaz!de!responder!a!estas!necesidades.
! 42!
CAPÍTULO!III:!PLATEAMIENTO!Y!SOLUCIÓN!
5.! PRIVACIDAD!
5.1! ¿QUÉ!ES?!DEFINICIÓN!
El!término!privacidad!es!un!término!bastante!complejo,!pues!se!puede!contemplar!desde!
un!punto!de!vista!social,!de!tipo!legal!y!tecnológico.!!
Desde!un!punto!de!vista! social,! el! concepto!de!privacidad!ha! ido!variando!en!el! tiempo,!
siendo! la!de!Altman! (1975)!una!de! las!primeras!definiciones:! “la'privacidad'es'el' control'
selectivo'del'acceso'a'uno'mismo'o'al'grupo'al'que'uno'pertenece”.!
Posteriormente,!en!el!contexto!de!desarrollo!de!los!sistemas!de!comunicación,!se!aumentó!
el!control!sobre!la!información,!y!Newel!(1994)!definió!la!privacidad!como!“la'separación'
del'dominio'público”.!
La!privacidad,!desde!un!punto!de!vista!social!es!muy!importante,!pues!“regula!los!procesos!
de!interacción!social!y!ayuda!a!establecer!la!identidad!personal!o!grupal”.!(Holahan,!1991)!
Con! respecto! a! la! identidad! personal! y! grupal,! Valera! (1998)! señala! que! “la! privacidad!
permite! a! la! persona! establecer! límites! de! los! demás! y! definirse! a! sí!misma,! también! le!
permite!compararse!con!los!demás!y!por!ende!comprender!sus!propias!características.!!
Desde!un!punto!de!vista!legal,!o!del!derecho,!podemos!aceptar!la!definición!del!término!que!
hace! la! RAE:! “Ámbito! de! la! vida! privada! que! se! tiene! derecho! a! proteger! de! cualquier!
intromisión”.!
Corral!Talciani!(2000)!enumera!las!formulaciones!que!intentan!captar!el!núcleo!esencial!del!
derecho!a!la!vida!privada!o!privacidad:!
a)! El!derecho!a!ser!dejado!solo.!b)! El!derecho!a!tomar!decisiones!personales.!c)! El!derecho!al!control!de!la!información!personal.!d)! El!derecho!a!la!inaccesibilidad.!e)! El!derecho!a!excluir!a!terceros!de!la!información!personal.!f)! El!derecho!sobre!el!acceso!cognoscitivo.!
43!!
Y!por!último,!desde!un!punto!de!vista!tecnológico,!privacidad!se!entiende!como!el!conjunto!
de!medidas!que!se!deben!de!tomar!para!proteger!los!datos!personales!almacenados!en!un!
soporte!electrónico!o!que!son!objeto!de!tratamiento!automatizado.!
5.2! MARCO!LEGAL!
5.2.1! INTRODUCCIÓN!
La!Revolución!Francesa!(1789=1799)!fue!el!precursor!histórico!del!desarrollo!de!los!derechos!
personales!y!colectivos!como!universales,!plasmándose!en!la!“Declaración!de!los!Derechos!
del!Hombre!y!del!Ciudadano”,!aprobada!en!la!asamblea!Nacional!Constituyente!francesa!el!
26!de!agosto!de!1789,!pero!fue!hasta!la!aprobación!de!la!Resolución!217!A!(III),!por!parte!de!
la!Asamblea!de!las!Organización!de!Naciones!Unidas!(ONU),!el!10!de!diciembre!de!1948!en!
París,!conocida!como!“Declaración!Universal!de!los!Derechos!Humanos”10!que!la!privacidad!
(entendiéndose! también! como! la! protección! de! los! datos! personales)! comenzó! a! tener!
importancia!a!nivel!internacional.!!
En! esta!declaración,! encontramos!el!Artículo! 12,! que!establece!que!el! derecho! a! la! vida!
privada,!por!extensión!la!privacidad,!es!un!derecho!humano:!
“Nadie!será!objeto!de!injerencias!arbitrarias!en!su!vida!privada,!su!familia,!su!domicilio!o!su!
correspondencia,!ni!de!ataques!a!su!honra!o!a!su!reputación.!Toda!persona!tiene!derecho!a!
la!protección!de!la!ley!contra!tales!injerencias!o!ataques”.! !
A! partir! de! esto,! la! Convención! Europea! para! la! Protección! de! los! Derechos!Humanos! y!
Libertades! Fundamentales,! firmada! el! 4! de! noviembre! de! 1950! en! Roma,! recoge! en! su!
artículo!8!del!convenio,!el!derecho!de!las!personas!al!respeto!de!su!vida!privada!y!familiar,!
domicilio!y!correspondencia.!!
Más!adelante,!en!1966,!otra! resolución!de! la!Asamblea!general!de! la!ONU,! ratifica!en!el!
artículo! 17! del! “Pacto! Internacional! de!Derechos! Civiles! y! Políticos”11! lo! declarado! en! la!
Declaración!Universal!de!Derechos!Humanos:!
1.! “Nadie!será!objeto!de!injerencias!arbitrarias!o!ilegales!en!su!vida!privada,!su!familia,!
su!domicilio!o!correspondencia,!ni!de!ataques!ilegales!a!su!honra!y!reputación”.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10!ONU.!!http://www.un.org/es/documents/udhr/!!11!NUDH.!http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx!!
44!!
2.! “Toda!persona!tiene!derecho!a!la!protección!de!la!ley!contra!esas!injerencias!o!esos!
ataques”.!! !! !! !! !
!
En! 1970,! el! Parlamento! Alemán! aprueba! la! primera! ley! de! protección! de! datos!
(Datenschutz),! actualizada! posteriormente! en! 1977! con! Ley! Federal!
Bundesdatenschutzgesetz12,!que! impiden! la!transmisión!o!utilización!de!datos!personales!
sin!la!autorización!de!las!personas!interesadas.!
En!1973,!se!aprueba!en!Suecia!la!“Data!Act”13,!que!se!convierte!en!la!primera!ley!nacional!
que!trata!de!proteger!los!datos!personales!procesados!en!mediante!computadores.!!
Estados!Unidos,!aprueba!en!1974! la! “Privacy'act'of'1974”14,!que!establece!un!código!de!
buenas! prácticas! que! supervise! la! recogida,! mantenimiento,! uso! y! distribución! de!
información!personal!por!parte!de!las!agencias!federales.!!
Por!otro!lado,! la!Organización!para!la!Cooperación!y!el!Desarrollo,!estableció!en!1980!las!
directrices! sobre! protección! de! privacidad! y! flujos! transfronterizos! de! datos! personales!
sobre!los!que!posteriormente!se!asentaron!las!políticas!a!nivel!europeo,!y!posteriormente!a!
nivel!nacional.!15!
Principio!básico!de!aplicación!
nacional!
Descripción!
Principio!de!limitación!de!recogida!Deberán!existir! límites!para! la! recogida!de!datos!personales!y!
cualquiera!de!estos!datos!deberá!obtenerse!con!medios!legales!
y! justos!y,! siempre!que! sea!apropiado,! con!el! conocimiento!o!
consentimiento!del!sujeto!implicado.!
Principio!de!calidad!de!los!datos!Los!datos!personales!deberán!ser!relevantes!para!el!propósito!
de!su!uso!y,!en!la!medida!de!lo!necesario!para!dicho!propósito,!
exactos,!completos!y!actuales.!
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12!Federal!Data!Protection!Act.!http://www.iuscomp.org/gla/statutes/BDSG.htm!!13!Implementing!Data!Protection!in!Law.!http://www.scandinavianlaw.se/pdf/47=18.pdf!!14!Privacy!Act!Of!1974.!http://www.justice.gov/opcl/privacy=act=1974!!15!OCDE.!Directrices!de!la!OCDE!sobre!protección!de!la!privacidad!y!los!flujos!transfronterizos!de!datos!personales.!http://www.oecd.org/sti/ieconomy/15590267.pdf!!
45!!
Principio!de!especificación!del!
propósito!El!propósito!de!la!recogida!de!datos!se!deberá!especificar!a!más!
tardar!en!el!momento!en!que!se!produce!dicha!recogida,!y!su!
uso!se!verá!limitado!al!cumplimiento!de!los!objetivos!u!otros!que!
no!sean!incompatibles!con!el!propósito!original,!especificando!
en!cada!momento!el!cambio!de!objetivo.!
Principio!de!limitación!de!uso!No! se! deberá! divulgar,! poner! a! disposición! o! usar! los! datos!
personales!para!propósitos!que!no!cumplan! lo!expuesto!en!el!
apartado!9,!excepto:!
•!Si!se!tiene!el!consentimiento!del!sujeto!implicado!o!
•!Por!imposición!legal!o!de!las!autoridades.!
Principio!de!salvaguardia!de!la!
seguridad!Se! emplearán! salvaguardas! razonables! de! seguridad! para!
proteger! los! datos! personales! contra! riesgos,! tales! como!
pérdida,!acceso!no!autorizado,!destrucción,!uso,!modificación!o!
divulgación!de!los!mismos!
Principio!de!transparencia!Deberá! existir! una! política! general! sobre! transparencia! en!
cuanto! a! evolución,! prácticas! y! políticas! relativas! a! datos!
personales.!Se!deberá!contar!con!medios!ágiles!para!determinar!
la!existencia!y! la!naturaleza!de!datos!personales,!el!propósito!
principal!para!su!uso!y!la!identidad!y!lugar!de!residencia!habitual!
de!quien!controla!esos!datos.!
Principio!de!participación!
individual!Todo!individuo!tendrá!derecho!a:!
●! Que!el!controlador!de!datos!u!otra!fuente!le!confirme!que!tiene!datos!sobre!su!persona;!!
●! Que!se!le!comuniquen!los!datos!relativos!a!su!persona!
! –!en!un!tiempo!razonable;!
! –!a!un!precio,!si!existiese,!que!no!sea!excesivo;!!
!!!!!!!!!!!!!!!!–!de!forma!razonable;!y!
! –!de!manera!inteligible;!
●! Que!se!le!expliquen!las!razones!por!las!que!una!petición!suya! según! los! subapartados! (a)! y! (b)! haya! sido!denegada,!así!como!poder!cuestionar!tal!denegación;!y!
46!!
●! Expresar!dudas!sobre!los!datos!relativos!a!su!persona!y,!si!su!reclamación!tiene!éxito,!conseguir!que!sus!datos!se!eliminen,!rectifiquen,!completen!o!corrijan.!
!
Principio!de!responsabilidad!Sobre!todo!controlador!de!datos!debe!recaer!la!responsabilidad!
del! cumplimiento! de! las! medidas! que! hagan! efectivos! los!
principios!señalados!anteriormente.!
Tras!la!publicación!de!las!directrices!OCDE,!se!firmó!en!1981!en!
Estrasburgo!el!“Convenio!para!la!Protección!de!las!Personas!con!
respecto! al! tratamiento! de! Datos! de! Carácter! Personal! en! el!
marco!del! Consejo!de!Europa”,! donde! los!países! firmantes! se!
comprometieron! a! establecer! en! su! legislación! garantías! con!
respecto! al! tratamiento! automatizado! de! datos! de! carácter!
personal,! y! se! mencionó! la! necesidad! mantener! un! nivel!
homogéneo!a!nivel!europeo!en!materia!de!protección!de!datos.!!
!
Tabla!1.!Principios!básicos!de!aplicación!nacional!
5.2.2! NOMATIVA!EUROPEA!
5.2.2.1! Introducción&
La!privacidad!de! las!personas,!es!un! tema!que!siempre!ha!preocupado!a! las!autoridades!
europeas,! como! se! puede! ver! en! la! extensa! regulación,! de! tal! forma,! como! indicamos!
anteriormente,! !ya!en!uno!de!los!primeros!artículos!de!la!Carta!Fundacional!de!Derechos!
Humanos!de!la!UE16,!firmado!por!todos!los!miembros!de!la!unión,!trata!sobre!este!tema:!
Artículo!8.!Derecho!al!respeto!a!la!vida!privada!y!familiar.17!
Toda'persona'tiene'derecho'al'respeto'de'su'vida'privada'y'familiar,'de'su'domicilio'y'de'su'
correspondencia.'
No'podrá'haber' injerencia'de' la'autoridad'pública'en'el'ejercicio'de'este'derecho'sino'en'
tanto'en'cuanto'esta'injerencia'esté'prevista'por'la'ley'y'constituya'una'medida'que,'en'una'
sociedad' democrática,' sea' necesaria' para' la' seguridad' nacional,' la' seguridad' pública,' el'
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16!European!Convention!Human!Rights,!ECHR.!Página!oficial:!http://human=rights=convention.org!!17!Council!of!Europe!of!Human!Rights.!(1998).!Convenio!Europeo!de!Derechos!Humanos.!Artículo!8.!p.11!
47!!
bienestar' económico' del' país,' la' defensa' del' orden' y' la' prevención' de' las' infracciones'
penales,' la' protección' de' la' salud' o' de' la' moral,' o' la' protección' de' los' derechos' y' las'
libertades'de'los'demás.''
En! el! Artículo! 16! del! Tratado! de! Funcionamiento! de! la! Unión! Europea! (TFUE)18,! se!
contemplaba!este!tema.!
“1.' Toda'persona' tiene' derecho'a' la' protección' de' los' datos' de' carácter' personal' que' le'
conciernan.!
2.'El'Parlamento'Europeo'y'el'Consejo'establecerán,'con'arreglo'al'procedimiento'legislativo'
ordinario,'las'normas'sobre'protección'de'las'personas'físicas'respecto'del'tratamiento'de'
datos'de'carácter'personal'por'las'instituciones,'órganos'y'organismos'de'la'Unión,'así'como'
por'los'Estados'miembros'en'el'ejercicio'de'las'actividades'comprendidas'en'el'ámbito'de'
aplicación'del'Derecho'de'la'Unión,'y'sobre'la'libre'circulación'de'estos'datos.'El'respeto'de'
dichas'normas'estará'sometido'al'control'de'autoridades'independientes.”!
Artículos!7!y!8!de!la!Carta!de!los!Derechos!Fundamentales!de!la!Unión!Europea.!19!
Artículo'7.'Respeto'a'la'vida'privada'y'familiar.'!
Toda'persona'tiene'derecho'al'respeto'de'su'vida'privada'y'familiar,'de'su'domicilio'y'de'sus'
comunicaciones.!
Artículo'8.'Protección'de'datos'de'carácter'personal.'!
Toda' persona' tiene' derecho' a' la' protección' de' los' datos' de' carácter' personal' que' la'
conciernan.''
Estos'datos'se'tratarán'de'modo'leal,'para'fines'concretos'y'sobre'la'base'del'consentimiento'
de' la'persona'afectada'o'en'virtud'de'otro'fundamento' legítimo'previsto'por' la' ley.'Toda'
persona'tiene'derecho'a'acceder'a'los'datos'recogidos'que'la'conciernan'y'a'su'rectificación.''
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18!Versión!Consolidada!del!Tratado!de!Funcionamiento!de!la!Unión!Europea.!http://www.boe.es/doue/2010/083/Z00047=00199.pdf!!19!Diario!Oficial!de!las!Comunidades!Europeas.!Carta!de!los!Derechos!Fundamentales!de!la!Unión!Europea.!http://www.europarl.europa.eu/charter/pdf/text_es.pdf!!
48!!
El'respeto'de'estas'normas'quedará'sujeto'al'control'de'una'autoridad'independiente.'! !!
En!1981,!Francia,!Dinamarca,!Luxemburgo,!Alemania!y!Austria! firman!el!primer!convenio!
internacional!que!trata!la!protección!de!datos!personales.!Este!convenio!pasa!a!ser!conocido!
como!“Convenio!108”20,!o!“Convenio!de!Estrasburgo”,!y! fue!el!precursor!de! la!“Directiva!
95/46/CE”.!Este!es!el!primer!instrumento!internacional!jurídicamente!vinculante!adoptado!
en!el!ámbito!de!la!protección!de!datos!personales!con!respecto!al!tratamiento!automatizado!
de!los!mismos.!!!
5.2.2.2! Directiva&95/46/CE&
Dentro!de!los! instrumentos! legislativos,!nos!centraremos!en!la!Directiva!95/46/CE,!por! la!
importancia!histórica!que!ha!tenido!en!el!posterior!desarrollo!de!las!legislaciones!nacionales!
dentro!de!la!Unión!Europea.!
El! 24! de! octubre! de! 1995,! la! Comisión! Europea! aprobó! la! directiva! 95/46/CE! sobre!
privacidad,!con!el!objetivo!de!armonizar!las!legislaciones!nacionales,!y!de!esta!forma,!poder!
facilitar!el!tránsito!y!de!proteger!los!datos!personales!dentro!de!la!UE.!
Para! este! fin,! se! pidió! a! los! quince! miembros! de! la! UE! que! adaptaran! sus! respectivas!
legislaciones!antes!de!octubre!de!1998,!que!en!el!caso!de!España,!se!tradujo!en!el!desarrollo!
y!aprobación!de! la!LOPD,!o!Ley!Orgánica!15/1999,!de!13!de!diciembre,!de!Protección!de!
Datos! de! Carácter! Personal,! que! fue! la! adaptación! de! nuestra! normativa! nacional! a! los!
requisitos!exigidos!en!la!directiva!europea.!
La!directiva!consta!de!34!artículos,!estructurados!en!7!capítulos!y!una!disposición!final.!!
Y!como!la!propia!comisión!indica:21!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20!Convenio!Nº!108!del!Consejo!de!Europa,!de!28!de!Enero!de!1981,!para!la!protección!de!las!personas!con!respecto!al!tratamiento!automatizado!de!datos!de!carácter!personal.!https://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_consejo_europa/common/PDFs/B.28=cp==CONVENIO=N=1o==108=DEL=CONSEJO=DE=EUROPA.pdf!!21!Europa.eu.!Protección!de!datos!personales.!http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm!!
49!!
“La!Directiva!tiene!como!objetivo!proteger!los!derechos!y!las!libertades!de!las!personas!en!
lo!que!respecta!al!tratamiento!de!datos!personales,!estableciendo!principios!de!orientación!
para!determinar!la!licitud!de!dicho!tratamiento.!Dichos!principios!se!refieren!a:!
•! La!calidad!de!los!datos:!los!datos!personales!serán!tratados!de!manera!leal!y!lícita,!
y!recogidos!con!fines!determinados,!explícitos!y!legítimos.!Además,!serán!exactos!y,!
cuando!sea!necesario,!actualizados.!
•! La! legitimación! del! tratamiento:! el! tratamiento! de! datos! personales! sólo! podrá!
efectuarse!si!el!interesado!ha!dado!su!consentimiento!de!forma!inequívoca!o!si!el!
tratamiento!es!necesario!para:!
o! la!ejecución!de!un!contrato!en!el!que!el!interesado!sea!parte,!o!
o! el! cumplimiento! de! una! obligación! jurídica! a! la! que! esté! sujeto! el!
responsable!del!tratamiento,!o!
o! proteger!el!interés!vital!del!interesado,!o!
o! el!cumplimiento!de!una!misión!de!interés!público,!o!
o! la! satisfacción! del! interés! legítimo! perseguido! por! el! responsable! del!
tratamiento.!
•! Las!categorías!especiales!de!tratamiento:!deberá!prohibirse!el!tratamiento!de!datos!
personales! que! revelen! el! origen! racial! o! étnico,! las! opiniones! políticas,! las!
convicciones! religiosas! o! filosóficas! y! la! pertenencia! a! sindicatos,! así! como! el!
tratamiento!de!los!datos!relativos!a! la!salud!o!a! la!sexualidad.!Esta!disposición!va!
acompañada! de! reservas! que! se! aplicarán,! por! ejemplo,! en! caso! de! que! el!
tratamiento!sea!necesario!para!salvaguardar!el!interés!vital!del!interesado!o!para!la!
prevención!o!el!diagnóstico!médico.!
•! La! información! a! los! afectados! por! dicho! tratamiento:! el! responsable! del!
tratamiento! deberá! facilitar! cierta! cantidad! de! información! (identidad! del!
responsable!del!tratamiento,!fines!del!tratamiento,!destinatarios!de!los!datos,!etc.)!
a!la!persona!de!quien!se!recaben!los!datos!que!le!conciernan.!
•! El!derecho!de!acceso!del!interesado!a!los!datos:!todos!los!interesados!deberán!tener!
el!derecho!de!obtener!del!responsable!del!tratamiento:!
o! la!confirmación!de!la!existencia!o!inexistencia!del!tratamiento!de!datos!que!
le!conciernen!y!la!comunicación!de!los!datos!objeto!de!los!tratamientos;!
50!!
o! la!rectificación,!la!supresión!o!el!bloqueo!de!los!datos!cuyo!tratamiento!no!
se!ajuste!a!las!disposiciones!de!la!presente!Directiva,!en!particular!a!causa!
del!carácter!incompleto!o!inexacto!de!los!datos,!así!como!la!notificación!a!
los! terceros! a! quienes! se! hayan! comunicado! los! datos! de! dichas!
modificaciones.!
•! Las!excepciones!y!limitaciones:!se!podrá!limitar!el!alcance!de!los!principios!relativos!
a! la!calidad!de! los!datos,! la! información!del! interesado,!el!derecho!de!acceso!y! la!
publicidad! de! los! tratamientos! con! objeto! de! salvaguardar,! entre! otras! cosas,! la!
seguridad!del!Estado,!la!defensa,!la!seguridad!pública,!la!represión!de!infracciones!
penales,!un!interés!económico!y!financiero!importante!de!un!Estado!miembro!o!de!
la!UE!o!la!protección!del!interesado.!
•! El!derecho!del! interesado!a!oponerse!al! tratamiento:!el! interesado!deberá! tener!
derecho!a!oponerse,!por!razones!legítimas,!a!que!los!datos!que!le!conciernen!sean!
objeto! de! tratamiento.! También! deberá! tener! la! posibilidad! de! oponerse,! previa!
petición!y!sin!gastos,!al!tratamiento!de!los!datos!respecto!de!los!cuales!se!prevea!un!
tratamiento!destinado!a!la!prospección.!Por!último,!deberá!ser!informado!antes!de!
que!los!datos!se!comuniquen!a!terceros!a!efectos!de!prospección!y!tendrá!derecho!
a!oponerse!a!dicha!comunicación.!
•! La!confidencialidad!y!la!seguridad!del!tratamiento:!las!personas!que!actúen!bajo!la!
autoridad!del! responsable!o!del! encargado!del! tratamiento,! incluido!este!último,!
sólo!podrán!tratar!datos!personales!a!los!que!tengan!acceso,!cuando!se!lo!encargue!
el! responsable! del! tratamiento.! Por! otra! parte,! el! responsable! del! tratamiento!
deberá!aplicar! las!medidas!adecuadas!para! la!protección!de! los!datos!personales!
contra! la! destrucción,! accidental! o! ilícita,! la! pérdida! accidental,! la! alteración,! la!
difusión!o!el!acceso!no!autorizados.!
•! La! notificación! del! tratamiento! a! la! autoridad! de! control:! el! responsable! del!
tratamiento! efectuará! una! notificación! a! la! autoridad! de! control! nacional! con!
anterioridad!a! la! realización!de!un! tratamiento.! La!autoridad!de! control! realizará!
comprobaciones!previas!sobre!los!posibles!riesgos!para!los!derechos!y!libertades!de!
los! interesados!una!vez!que!haya!recibido! la!notificación.!Deberá!procederse!a! la!
publicidad!de!los!tratamientos!y!las!autoridades!de!control!llevarán!un!registro!de!
los!tratamientos!notificados.”!
51!!
A!pesar!de!ser!el!marco!de!referencia!de!las!legislaciones!estatales,!debemos!apuntar!que!
desde!el!año!2012!se!encuentra!en!marcha!un!proceso!de!reforma!de!esta!norma,!debido!a!
varios!problemas!que!surgieron!tras!la!entrada!en!vigor!de!esta!norma,!como!es!la!diferencia!
en!la!forma!de!implementar!o!adecuar!esta!normativa!a!la!normativa!interna!de!cada!país,!
lo!que!da!como!resultado!diferencias!en!la!forma!de!aplicarla.!
5.2.2.3! Decisión&520/2000/CE22&o&Safe&Harbour&
El!desarrollo!de!las!legislaciones!nacionales!basándose!en!la!directiva!95/46/CE!supuso!un!
duro! golpe! para! las! empresas! norteamericanas! a! la! hora! de! adaptarse! a! la! normativa!
europea! y! de! cada!país,! ya! que! contaban! con!una! legislación!bastante!más! laxa! en! esta!
materia.!
La!forma!que!encontraron!de!solventar!este!problema,!es!la!negociación!de!Estados!Unidos,!
en! concreto! su! Departamento! de! Comercio! con! la! Unión! Europea,! la! creación! de! unos!
principios!de!“Puerto!Seguro”,!que!garantizaría!que! las!empresas!que!se!adhieran!a!esos!
principios! y! su! compromiso!de! llevarlos! a! la! práctica! (las! empresas! deben!manifestar! su!
adhesión! ante! la! Oficina! Federal! de! Comercio),! mantendrían! un! nivel! adecuado! de!
protección!exigido!por!la!directiva.!!
Esto!quiere!decir!que!se!trata!de!un!programa!al!que!se!adhieren!las!empresas!de!forma!
voluntaria,!y!son!ellas!mismas!las!que!se!comprometen!a!respetar!los!principios,!sin!ningún!
tipo!de!control!por!parte!de!ningún!organismo!oficial.!!
Los!principios!del!Puerto!Seguro!son!los!siguientes:!23!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22!The!implementation!of!Commission!Decision!520/2000/EC!on!the!adequate!protection!of!personal!data!provided!by!the!Safe!Harbour!privacy!Principles!and!related!Frequently!Asked!Question!issued!by!the!US!Department! of! Commerce.! http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec=2004=1323_en.pdf!!23!Communication!from!the!Commission!to!the!European!Parliament!and!The!Council!on!the!Functioning!of! the! Safe! Harbour! from! the! Perspective! of! EU! Citizens! and! Companies! Stablished! in! the! EU!http://ec.europa.eu/justice/data=protection/files/com_2013_847_en.pdf!!
52!!
Notificación!(Notice'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!tiene!la!
obligación!de!informar!a!los!interesados!sobre!la!finalidad!por!
la! que! fueron! recogidos! sus! datos! personales,! así! como! de!
identificar!al!responsable!del!fichero,!para!poder!ejercitar!sus!
derechos!(ARCO).!!(Artículo!5!LOPD)!
Opción!(Choice'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!tiene!la!
obligación!de!ofrecer!la!posibilidad!de!decidir!si!los!datos!de!
carácter! personal! pueden! ser! cedidos! o! no! a! un! tercero.!
(Artículo!6!LOPD)!
Seguridad!(Security'
Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deben!
adoptar!todas!las!medidas!técnicas!y!organizativas!necesarias!
que!garanticen!la!seguridad!de!los!datos!de!carácter!personal!
y! eviten! su! alteración,! pérdida,! tratamiento! o! acceso! no!
autorizado.!(Artículo!9!LOPD)!
Integridad!de!los!Datos!
(Data'Integrity'Principle)!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
recoger! únicamente! los! datos! necesarios! para! los! fines!
específicos! para! los! que! fueron! recogidos.! Basado! en! el!
principio!de!“Calidad!de!los!datos”!de!la!Directiva!95/46/CE!y!
recogido!también!en!la!LOPD.!
Acceso!(Access'Principle)! Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
permitir! a! los! titulares! de! los! datos! que! accedan! a! la!
información,!y!la!corrijan!o!eliminen!si!no!es!exacta.!Derechos!
ARCO.!(Título!III.!LOPD)!
Transferencia!a!terceras!
partes!(Transfer'to'Third'
Parties)!
!
Las!organizaciones!que!se!adhieran!al!Puerto!Seguro,!deberán!
garantizar! que! sólo! será! posible! la! transferencia! de! datos!
personales!cuando!las!entidades!o!países!destinatarios!estén!
suscritos!al!Puerto!Seguro,!o!sean!países!de!la!Unión!Europea.!
(Artículos!9!y!12.!LOPD)!
53!!
!
Tabla!2.!Principios!puerto!Seguro!
!
5.2.2.4! Decisión&2010/87/UE&
También!vamos!a!contemplar!en!este!trabajo!la!Decisión!2010/87/UE!de!la!Comisión,!de!5!
de!febrero!de!2010,!pues!ofrece!unas!cláusulas!contractuales!tipo!para!la!transferencia!de!
datos! personales! a! los! encargados! del! tratamiento! establecidos! en! terceros! países,! de!
conformidad!con!la!Directiva!95/46/CE!del!Parlamento!Europeo!y!del!Consejo.!!
En!el!caso!de!la!computación!en!la!nube:!24!
“Si!la!relación!se!produce!entre!un!responsable!y!un!encargado!de!tratamiento,!las!cláusulas!
tipo!de!conformidad!con! la!Decisión!2010/87/CE!de! la!Comisión!son!un! instrumento!que!
puede! ser! utilizado! como! base! para! que! la! computación! en! nube! ofrezca! garantías!
adecuadas!en!el!contexto!de!las!transferencias!internacionales.!
La!Decisión!2010/87/UE!debe!entenderse!sin!perjuicio!de!las!autorizaciones!nacionales!que!
puedan!conceder!los!Estados!miembros!de!conformidad!con!las!disposiciones!nacionales!de!
aplicación! del! artículo! 26.2! de! la! Directiva! 95/46/CE.! La! Decisión! tendrá! como! efecto!
únicamente!exigir!a!los!Estados!miembros!que!no!se!nieguen!a!reconocer!que!las!cláusulas!
contractuales!tipo!establecidas!en!ella!proporcionan!las!garantías!adecuadas,!por!lo!que!no!
afectará!de!ninguna!manera!a!otras!cláusulas!contractuales.”!
Según!la!AEPD,!se!considera!que!los!contratos!entre!exportador!e!importador!de!datos!que!
contengan!las!cláusulas!contractuales!de!esta!decisión,!establecen!garantías!adecuadas.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24!Guash!Portas,!Vicente.!Soler!Fuensanta,!José!Ramón.!Cloud!Computing,!Cláusulas!contractuales!y!reglas!corporativas!vinculates.!Refista!de!Derecho!UNED.!Num.!14.!2014!pág.!258!http://revistas.uned.es/index.php/RDUNED/article/viewFile/13300/12171!!
Aplicación! Las! organizaciones! que! se! adhieren! al! Puerto! Seguro,! se!
comprometen!a!garantizar!los!propios!propios!principios!del!
Puerto! Seguro,! articulando!mecanismo! independientes! que!
verifiquen!su!cumplimiento.!
54!!
5.2.3! LEGISLACIÓN!ESPAÑOLA!
5.2.3.1! Constitución&Española&
En! la! constitución! española! de! 1978,! dentro! del! Título! I,! es! decir,! el! de! “Los! derechos! y!
deberes!fundamentales”,!ya!se!establecía!el!derecho!a!la!protección!de!la!de!privacidad.!
Artículo!18:!
1.! “Se!garantiza!el!derecho!al!honor,!a! la! intimidad!personal!y! familiar!y!a! la!propia!imagen”.!
2.! “El! domicilio! es! inviolable.! Ninguna! entrada! o! registro! podrá! hacerse! en! él! sin!consentimiento!del!titular!o!resolución!judicial,!salvo!en!caso!de!flagrante!delito”.!
3.! “Se! garantiza! el! secreto! de! las! comunicaciones! y,! en! especial,! de! las! postales,!telegráficas!y!telefónicas,!salvo!resolución!judicial”.!
4.! “La! Ley! limitará! el! uso! de! la! informática! para! garantizar! el! honor! y! la! intimidad!personal!y!familiar!de!los!ciudadanos!y!el!pleno!ejercicio!de!sus!derechos”.!
5.2.3.2! Ley&Orgánica&de&Protección&de&Datos&(LOPD)&y&Real&Decreto&1720/2007&(RLOPD)&
5.2.3.2.1! Introducción!
La!Ley!Orgánica!de!Protección!de!Datos!se!desarrolló!con!dos!objetivos,!el!primero!de!ellos!
fue!desarrollar!el!artículo!18!de!la!constitución25,!y!el!segundo,!trasponer!al!ordenamiento!
jurídico! español! la! Directiva! Europea! 95/46/CE! de! 24! de! Octubre! de! 1995,! relativa! a! la!
protección!de!las!personas!físicas!en!lo!que!respecta!al!tratamiento!de!datos!personales!y!a!
la! libre! circulación! de! estos! datos.! Tiene! por! objeto,! <<garantizar! y! proteger,! en! lo! que!
concierne! al! tratamiento! de! datos! personales,! las! libertades! públicas! y! los! derechos!
fundamentales!de!las!personas!físicas,!y!especialmente!de!su!honor!e!intimidad!personal.>>!
Fue!publicada!en!el!BOE!298!de!14=12=199926!
De!la!misma!forma,!dada!la!importancia!de!salvaguardar!la!necesaria!seguridad!jurídica!de!
los!derechos!fundamentales!en!materia!de!protección!de!datos!se!desarrolló!El!Real!Decreto!
1720/2007,!de!21!de!diciembre,!por!el!que!se!aprueba!el!Reglamento!de!desarrollo!de!la!Ley!
Orgánica! 15/1999,! de! 13! de! diciembre.! Hay! que! tener! en! cuenta! que! no! reitera! los!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25Artículo!18!constitución!26!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!
55!!
contenidos!de!esta!norma!superior,!sino!que,!desarrolla!los!mandatos!contenidos!en!ella!!y!
añade!aquellos!que!se!ha!demostrado!que!necesitan!de!mayor!precisión.!
Fue!publicado!en!el!BOE!979!de!19=01=2008.27!
5.2.3.2.2! Contenido!de!la!Norma!
Ambas!legislaciones!consolidadas,!aplican!tanto!a!organismo!públicos!como!privados!que!
hagan! tratamiento! de! datos! de! carácter! personal,! o! lo! que! es! lo! mismo,! aplica! a! todo!
tratamiento!que!se!haga!de!información!numérica,!alfabética,!gráfica,!fotográfica!o!acústica!
o! de! cualquier! otro! tipo! que! identifique! o! pueda! identificar! a! una! persona! física.! Esto!
comprende!desde!una!simple! recogida!de!datos!a! través!de!un! formulario!web,!hasta!el!
almacenamiento!de!datos!que!realizan!las!empresas!de!hosting.!
Por!ley!se!rige!que!todo!tratamiento!de!datos!de!carácter!personal!que!se!realice,!o!utilice!
recursos!para!ello!sin!fines!de!tránsito,!situado!dentro!de!territorio!español,!debe!de!cumplir!
necesariamente!con!lo!que!dictamina!la!LOPD.!Se!excluye!de!dicha!aplicación,!con!arreglo!al!
derecho! civil! y! derecho! mercantil,! todo! dato! que! se! considere,! utilizado! con! fines!
domésticos! o! personales,! de! persona! jurídica! o! personas! de! contacto!de! las!mismas,! de!
personas!fallecidas,!de!protección!de!materias!clasificadas!y!del!terrorismo!o!delincuencia!
organizada.!!
Es! importante! considerar,! ya! que! es! uno! de! los! fundamentos! sobre! los! que! centra! La!
Constitución!española28,!que!mediante!el!derecho!a!la!autodeterminación!informativa,!todo!
ciudadano!tiene!derecho!a!saber!qué!se!hace!con!su!información!y!a!ejercer!control!sobre!
la!misma,!lo!que!implica,!poder!establecer!derecho!de!acceso,!rectificación,!cancelación!y!
oposición.!
5.2.3.2.3! Sistemas!automatizados!
Hoy! en! día! la! mayor! parte! de! la! información! de! las! empresas! reside! en! ficheros! o!
documentos!automatizados.!Siempre!que!se!cree!cualquier!fichero!de!titularidad!privada!
que! contengan! datos! de! carácter! personal! ! es! necesario! ponerlo! en! conocimiento! de! la!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27!http://www.boe.es/buscar/act.php?id=BOE=A=2008=979!!28!http://www.boe.es/buscar/pdf/1978/BOE=A=1978=31229=consolidado.pdf!
56!!
Agencia!de!Protección!de!Datos! (AGPD),! !que!cuenta!con!potestad!para! inspeccionar! los!
ficheros,29!indicando!la!siguiente!información30:!
●! Responsable!del!fichero.!●! Finalidad!del!fichero!y!uso!previsto.!●! Ubicación.!●! Tipo!de!datos.!●! Medidas!de!seguridad!adoptadas!en!función!del!nivel!de!privacidad!de!los!datos.!●! Cesiones!de!carácter!personal!que!se!prevean!realizar.!●! Transferencias!de!datos!que!se!prevean!a!países!de!terceros.!●! Identificación!del!fichero!RD!●! Sistema!de!tratamiento!empleado!en!su!organización.!●! Colectivo!de!persona!sobre!el!que!se!obtienen!los!datos,!si!aplica.!●! Procedimiento!y!procedencia!de!los!datos.!●! Categoría!de!los!datos.!●! Servicio!o!unidad!de!acceso.!●! Indicación!del!nivel!de!seguridad!aplicado.!●! Identificación!del!encargado!del!tratamiento.!
Cambios!que!se!realicen!en!cualquiera!de!los!tres!primeros!puntos!tendrán!siempre!que!ser!
comunicados!a!la!AGPD.!En!el!caso!de!que!se!realice!la!primera!cesión!de!datos!se!deberá!
informar!a!los!afectados!y!notificar!a!la!AGPD!de31:!
●! La!finalidad!del!fichero!●! La!naturaleza!de!los!datos!●! El!nombre!y!dirección!del!cesionario!
!Hay!que!tener!en!cuenta!que!si!los!datos!son!facilitados!a!un!tercero,!a!no!ser!que!la!cesión!
se! realice! con! arreglo! a! la! prestación! de! un! servicio! al! interesado! y! bajo! un! acuerdo!
contractual!entre!el!responsable!de!la! información!y!el!prestador!de!servicios,!es!de!vital!
importancia!ponerlo!en!conocimientos!del!interesado!para!que!otorgue!su!consentimiento.!
Toda!cesión!a!un!tercero!implica!tomar!las!medidas!y!establecer!las!cláusulas!contractuales!
oportunas! que! garanticen! la! seguridad!de! la! información! y! el! cumplimiento! de! la! LOPD,!
pudiendo! en! todo! momento,! o! una! vez! cumplida! la! prestación! contractual,! destruir! la!
información! o! reclamar! su! devolución.! El! hecho! de! que! un! tercero! encargado! del!
tratamiento!de!los!datos,!incumpla!una!de!las!cláusulas!pactadas,!ceda!o!destine!el!uso!de!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29!Artículo!40.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!30!Artículo!26.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!31!Artículo!27.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!
57!!
los! datos! a! otro! fin! no! acordado,! generará! que! adquiera! también! responsabilidad! sobre!
dichas!acciones,!respondiendo!a!las!infracciones!cometidas.!
En! el! caso! de! que! la! transferencia! que! se! realice! de! los! datos! sea! internacional,! el! país!
destino!debe!proporcionar!unas!medidas!de!protección!equiparables!a!las!solicitadas!en!la!
LOPD!y!artículo!70!RD!y!contar!con!la!autorización!del!Director!de!la!AGPD,!que!valorará!el!
carácter!adecuado!del!nivel!de!protección!en!función!de32:!
●! La!naturaleza!de!los!datos.!●! Finalidad!de!los!datos.!●! Duración!del!tratamiento!de!los!datos.!●! País!de!origen!y!destino.!●! Normas!de!derecho!generales!o!sectoriales!del!país!destino.!●! Informes!de!la!comisión!Europea.!●! Normas!profesionales.!●! Medidas!de!seguridad!en!vigor!en!dichos!países.!
5.2.3.2.4! Nivel!de!privacidad!de!los!datos!
Atendiendo!a!la!naturaleza!de!los!datos!y!dentro!del!marco!legal!de!la!constitución!española!!
se!establecen!tres!niveles!acumulativos!de!privacidad!de!los!datos,!alto,!medio!y!básico.!
!
Nivel! Tipología!de!datos!
Básico!
Comprende!cualquier!datos!que!identifique!a!una!persona!física!que!no!entre!dentro!del!nivel!medio!y!alto.!Puede!ser!su!nombre,!dirección,!teléfono,!e=mail,!foto,!imagen,!cuenta!bancaria,!número!de!tarjeta! de! crédito,! estado! civil,! fecha! y! lugar! de! nacimiento,! currículum,! formación,! titulaciones,!expediente,!sexo,!nacionalidad,!licencias,!permisos,!autorizaciones,!!etc.!
Medio!
Comprende!cualquier!fichero!que!contenga!!datos!de:!
o Infracciones!administrativas!o!penales.
o Solvencia!patrimonial!o!crédito.
o Entidades!financieras!para!la!prestación!de!servicios!financieros. o Entidades!Gestoras!y!Servicios!Comunes!de!la!Seguridad!Social.
o Mutuas!de!accidentes!de!trabajo!y!enfermedades!profesionales!de!la!seguridad!social
o Ficheros!de!carácter!personal!que!ofrezcan!definición!de!las!características!!o!de!la!personalidad!de!los!ciudadanos!que!permitan!evaluar!aspectos!de!personalidad!y!comportamiento!de!los!mismos.
o Fichero!de!operadoras!!que!presten!servicios!de!comunicaciones*
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32!Artículo!33.!LOPD!www.boe.es/boe/dias/2008/01/19/pdfs/A04103=04136.pdf!!!!
58!!
!!
*Aplica!medidas!de!nivel!alto!contenidas!en!!artículo!103!
Alto!
Comprende!cualquier!fichero!que!contenga!datos!de!carácter!personal!referentes!a:!
o! Ideología*!
o! Afiliación!sindical*.!
o! Religión*.!
o! Creencias*.!
o! Origen!racial*.!
o! Salud*,! a! no! ser! que! solo! se! contengan! datos! relativos! al! grado,! condición! de! discapacidad! o!invalidez!del!afectado,!en!ese!caso!se!aplicarán!sólo!medidas!de!nivel!básico.!
o! Vida!sexual*.!
o! Datos!recabados!para!fines!policiales.!
o! Datos!derivados!de!violencia!de!género.!
!!
*Se!les!aplicarán!sólo!medidas!de!nivel!básico!cuando!los!datos!se!rijan!por!el!artículo!81.5!del!RD.!
!
Tabla!3.!Nivel!de!privacidad!de!datos!
5.2.3.2.5! Medidas!de!seguridad!
Acorde!a!los!tres!niveles!mencionados!se!determinan!a!continuación!las!medidas!necesarias!
de!seguridad!a!las!que!se!hace!mención!en!el!artículo!9!de!la!LOPD,!en!el!que!se!establece!
que,!“el'responsable'del'fichero,'y'en'su'caso,'el'encargado'del'tratamiento,'deberán'adoptar'
la'medidas'técnicas'necesarias'y'organizativas'que'garanticen'la'seguridad'de'los'datos'de'
carácter' personal' y' eviten' su' alteración,' pérdida,' tratamiento' o' acceso' no' autorizado,'
habida'cuenta'del'estado'de' la' tecnología' ,' la'naturaleza'de' los'datos'almacenados'y' los'
riesgos'a'que'están'expuestos,'ya'provengan'de'la'acción'humana'o'del'medio'físico'natural”.!
Estas!medidas!son!desarrolladas!posteriormente!!en!el!capítulo!!III!del!RD!1720/2007!y!se!
aplican!de!forma!acumulativa!a!los!diferentes!niveles!de!seguridad.!
Para!determinar!su!cumplimiento,!se!mapean!la!medidas!necesarias!de!seguridad!a!tomar!
con!los!controles!existentes!en!la!ISO!27002,!de!forma!que!si!la!información!proporcionada!
por!los!proveedores!se!resume!al!cumplimientos!de!ciertas!certificaciones!poder!establecer!
trazabilidad!entre!dicho!cumplimiento!y!el!grado!de!adecuación!de!la!infraestructura!o!el!
servicio!CLOUD!prestado,!a!la!LOPD.!
!
59!!
Nivel!Básico! !! !!
Artículo! Desarrollo!Normativo!Controles!
ISO!27002!
Documento!de!
seguridad!(art.88)!Documento!de!seguridad!
5.1.1!
8.3.2!
Funciones!y!
Obligaciones!del!
Personal!(art.!89)!
Definición!de!funciones!y!obligaciones!del!personal!con!acceso!a!los!datos.!Ñ!El!responsable!del!
fichero!o!tratamiento!adoptará!las!medidas!necesarias!de!formación!y!concienciación!del!
personal!de!las!normas!de!seguridad!y!consecuencias!de!incumplimiento.!
7.1.2!
7.2.2!
7.2.3!
Registro!de!
incidencias!(art.90)!
Deberá!existir!un!procedimiento!de!notificación!y!gestión!de!las!incidencias!!en!el!que!se!registre:!
Ñ!!!!Tipo!de!incidencia.!
Ñ!!!!Momento!en!el!que!se!produce!o!detecta.!
Ñ!!!!Persona!que!realiza!la!notificación.!
Ñ!!!!Persona!a!la!que!se!notifica!la!incidencia.!
Ñ!!!!Efectos,!consecuencias!de!la!misma.!
Ñ!!!!Medidas!correctoras!aplicadas.!
12.6.1!
16.1.2!
16.1.3!
16.1.4!
16.1.5!
16.1.6!!
16.1.7!!
Control!del!acceso!
(art.91)!
Los!usuarios!acceden!solo!a!recursos!necesarios!para!el!desempeño!de!sus!funciones.!
Ñ!Listado!de!la!relación!de!usuarios,!!perfiles!y!accesos!otorgados.!
Ñ!El!responsable!del!fichero!establecerá!mecanismos!de!acceso!para!evitar!que!los!usuarios!
accedan!a!recursos!no!autorizados.!
Ñ!Solo!personal!autorizado!en!el!documento!de!seguridad!y!según!criterios!establecidos!por!el!
responsable!pueden,!otorgar,!anular,!o!modificar!el!acceso!a!los!recursos.!
Ñ!El!personal!ajeno!al!responsable!del!fichero!está!sometido!a!las!mismas!condiciones!y!
obligaciones!que!el!personal!propio.!
15.1.1!
11.1.1!
9.1.1!
9.2.1!
9.2.2!
9.2.3!
9.2.4!
9.2.5!
9.2.6!
9.4.1!
9.4.2!
9.4.3!
9.4.4!
60!!
Gestión!de!soportes!
y!documentos!!(art.!
92)!
Ñ!Los!soportes!y!documentos!que!contengan!datos!de!carácter!personal!deben:!
!!!!o!!Identificar!tipo!de!información!que!contienen.!
!!!!o!!Estar!inventariados.!
!!!!o!!Ser!accedido!solo!por!el!personal!autorizado.!
Ñ!La!salida!de!soporte!y!documentos!de!las!instalaciones!que!controla!el!responsable!del!fichero!o!
del!tratamiento!debe!ser!autorizada!por!el!responsable!del!fichero!o!constar!en!el!documento!de!
seguridad.!
Ñ!Aplicar!las!medidas!de!protección!en!el!traslado!de!los!datos!que!eviten!sustracción,!robo,!
pérdida!o!acceso!indebido.!
Ñ!Destrucción!controlada!y!segura!de!los!datos!que!eviten!su!recuperación.!
8.2.1!
8.2.2!!
8.3.1!
8.3.2!
8.3.3!
9.4.1!
11.1.2!
11.1.4!!
11.2.7!
Identificación!y!
Autenticación!(art.!
93)!
Ñ!Medidas!que!garanticen!correcta!identificación!y!autenticación!de!los!usuarios.!
Ñ!Mecanismo!de!verificación!de!acceso!e!identificación!unívoca!y!personalizada!de!los!usuarios.!
Ñ!Procedimiento!de!asignación,!distribución!y!almacenamiento!de!contraseñas.!
Ñ!Realizar!cambio!de!contraseñas!anual.!
Ñ!Realizar!almacenamiento!ininteligible!de!contraseñas.!
9.2.1!!
9.2.4!
9.2.5!
9.4.3!
Copias!de!seguridad!
Ñ!!Realizar!copias!de!seguridad!como!mínimo!con!frecuencia!semanal,!a!no!ser!que!no!se!registren!
cambios!en!los!datos.!
12.3.1!
Muy!
genérico!
Ñ!!Establecer!procedimientos!de!recuperación!de!los!datos!que!garanticen!su!reconstrucción!al!
punto!en!el!que!se!produjo!la!pérdida!o!destrucción.!Si!la!pérdida!es!de!ficheros!parcialmente!
automatizados,!y!es!necesario!para!su!reconstrucción,!se!realizará!copia!manual!de!los!datos!
indicándolo!en!el!documento!de!seguridad.!
12.1.4!
Ñ!!Pruebas!de!implantación!o!modificación!de!los!sistemas!no!se!realizarán!sobre!datos!reales.!De!
lo!contrario,!asegurar!nivel!de!seguridad!acorde!al!tratamiento!y!dejar!constancia!en!el!
documento!de!seguridad.!
!!
Nivel!Medio! !! !!
Artículo! Desarrollo!Normativo!Controles!
ISO!27002!
Responsable!de!
seguridad!(art.!95)!
!Se!designará!un!responsable!o!varios!en!el!documento!de!seguridad,!!que!coordinarán!y!
controlarán!las!medidas!definidas!en!el!mismo.!6.1.1!!
Auditoría!
!(art.96)!
Ñ!Realizar!cada!dos!años!auditoría!interna!o!externa!de!los!sistemas!de!la!información,!
instalaciones!de!tratamiento!y!almacenamiento!de!datos.!Si!hay!cambios!sustanciales!en!el!
sistema,!que!repercuten!en!el!cumplimiento!de!las!medidas!de!seguridad!se!debe!realizar!
auditoría!independientemente!del!tiempo!transcurrido!en!el!que!se!realizó!la!anterior.!
!!!o!!Medidas!correctoras!o!complementarias.!
!!!o!!Datos!y!hechos!en!que!se!base!el!estudio!realizado.!
6.1.3!
18.2.1!
61!!
!!!o!!Recomendaciones!propuestas.!
Ñ!!El!responsable!de!seguridad!analizará!los!informes!de!auditoría!y!elevará!las!conclusiones!al!
responsable!del!fichero!o!tratamiento!para!que!adopte!las!medidas!oportunas!de!corrección!y!
quedará!a!disposición!de!la!AGPD!o!control!de!las!comunidades!autónomas.!
Gestión!de!soportes!
y!documentos!!(art.!
97)!
Establecer!sistema!de!registro!de!entrada!y!de!salida!que!permita!conocer:!
Ñ!!!Tipo!de!documento!o!soporte.!
Ñ!!Fecha!y!hora.!
Ñ!!!Emisor!/!receptor.!
Ñ!!!Número!de!documentos!o!soportes!enviados.!
Ñ!!!Tipo!de!información!que!contienen.!
Ñ!!!Forma!de!envío.!
Ñ!!!Persona!autorizada!y!responsable!de!la!recepción!o!de!envío!
13.2.1!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8.2.2!
Identificación!y!
autenticación!!
(art.98)!
Ñ!!El!responsable!del!fichero!o!tratamiento!establecerá!mecanismos!que!limiten!el!intento!de!
acceso!!no!autorizado,!de!forma!reiterada!al!sistema!de!información.!
9.1.1!
9.1.2!
9.4.2!!
Control!de!acceso!
físico!(art.99)!
Ñ!!Acceso!exclusivo!al!personal!autorizado!en!el!documento!de!seguridad!a!los!lugares!donde!
estén!instalados!los!equipos!físicos!que!dan!soporte!a!los!sistemas!de!información.!
11.1.1!
11.1.2!!
Registro!de!
incidencias!
(art.100)!
Ñ!!A!parte!de!lo!indicado!para!nivel!básico,!art!90.!El!registro!de!la!incidencia!deberá!contener:!
!!!o!!Procedimientos!realizados!para!la!recuperación!de!datos.!
!!!o!!Persona!que!ejecutó!el!proceso!de!recuperación!de!datos.!
!!!o!!Datos!restaurados.!Si!aplica,!datos!restaurados!manualmente.!
!!!o!Autorización!del!responsable!del!fichero!para!la!ejecución!de!los!procedimientos!de!
recuperación!de!datos.!
16.1.1!
16.1.2!
16.1.6!
16.1.7!
Nivel!Alto! !! !!
Artículo! Desarrollo!Normativo!Controles!
ISO!27002!
Gestión!y!
distribución!de!
soportes!
(art.!101)!
Identificar!los!soportes!con!sistemas!de!etiquetado!comprensibles!y!con!significado,!que!
permitan!la!identificación!de!los!usuarios!con!acceso!a!los!mismos!y!dificulten!la!identificación!al!
resto!de!personas.!
Distribución!cifrada!de!los!soportes!o!cualquier!mecanismo!que!garantice!el!acceso!y!
manipulación!de!la!información!en!el!transporte.!
Cifrado!de!los!datos!que!contengan!los!dispositivos!portátiles!que!se!encuentren!fuera!de!las!
instalaciones!que!están!bajo!control!del!responsable!del!fichero.!
Evitar!el!tratamiento!de!datos!en!dispositivos!portátiles.!Si!no!es!posible,!adoptar!las!medidas!
oportunas!y!dejar!constancia!en!el!documento!de!seguridad!de!tal!hecho.!
8.1.1!
8.3.1!
8.3.2!
8.3.3!
6.2.1!
10.1.1!
11.2.5!
11.2.6!
62!!
Copias!de!respaldo!
y!recuperación!
(art.!102)!
!Tener!copia!de!respaldo!en!un!lugar!diferente!al!que!se!encuentran!los!equipos!informáticos!que!
los!tratan.!Asegurando!para!ello:!
!!!Ñ!!!Medidas!de!seguridad!aplicables.!
!!!Ñ!!!Integridad!de!los!datos.!
!!!Ñ!!!Recuperación!de!los!datos.!
12.3.1!
8.3.1!
8.3.2!
Registro!de!accesos!
Ñ!!!Guardar!de!cada!intento!de!acceso!como!mínimo:!
!!!o!Identificación!del!usuario.!
!!!o!Fecha!y!hora.!
!!!o!Fichero!accedido.!
!!!o!Tipo!de!acceso.!
!!!o!Autorización!o!denegación!del!acceso.!En!caso!de!autorización,!guardar!información!que!
permita!identificar!el!registro!accedido.!
Ñ!!Los!mecanismos!que!permiten!el!registro!de!acceso!estarán!bajo!control!directo!del!
responsable!de!seguridad!sin!que!deban!permitir!la!desactivación!ni!la!manipulación!de!los!
mismos.!
Ñ!!El!periodo!de!conservación!de!los!registros!será!de!3!años.!
Ñ!!Revisión!mínima!de!una!vez!al!mes,!por!parte!del!responsable!de!seguridad!de!la!información!
de!control!registrada!y!elaboración!de!un!informe!de!las!revisiones!realizadas!y!problemas!
detectados.!
!
Ñ!!Queda!exenta!la!aplicabilidad!de!este!artículo!sí:!
!!!o!El!responsable!del!fichero!y!tratamiento!es!una!persona!física.!
!!!o!El!responsable!del!fichero!o!tratamiento!garantiza!que!únicamente!él!tiene!acceso!y!trata!los!
datos!personales.!
9.1.1!
Telecomunicaciones!Ñ!Transmisión!cifrada!de!datos!a!través!de!redes!públicas!o!con!mecanismos!que!garanticen!que!
la!información!sea!ininteligible!o!manipulada!por!terceros.!!!
10.1.1!
10.1.2!!
!
Tabla!4.!Medidas!de!seguridad!
5.2.3.2.6! Documento!de!seguridad!
En!función!del!nivel!de!datos!sobre!el!que!se!realice!el!tratamiento,!según!el!artículo!88,!!es!
necesario! que!el! responsable!del! fichero!o!de! su! tratamiento! elabore!un!documento!de!
seguridad,! que! recoja! las! medidas! técnicas! y! organizativas! adoptadas! que! serán! de!
necesario!cumplimiento!para!todo!el!personal!que!cuente!con!acceso!a!los!datos.!A!la!hora!
de!elaborar!el!documento,!hay!que!tener!en!cuenta,!que!el!mantenimiento!y!creación!del!
fichero! se! puede! delegar! en! el! responsable! del! tratamiento! si! éste! mismo! se! realiza!
63!!
exclusivamente! en! sus! sistemas,! será! necesario! por! lo! tanto! dejar! fijado! su! contenido!
atendiendo!al!nivel!de!privacidad!de!datos!manejados.!!
A!continuación!se!elabora!una!guía!de!contenido!en!funciona!de!la!privacidad!de!los!datos!
tratados!y!en!arreglo!la!normativa!vigente:!
!
!
Nivel!Básico! Desarrollo!Normativo!!! !!
Aplicación!de!los!niveles!de!seguridad!(art.!81)!
!!Constancia!del!nivel!de!seguridad!aplicado!de!un!determinado!sistema!de!la!información!si!difiere!del!sistema!principal.!
Encargado!del!tratamiento!(art.!82)!
Debe!figurar:!
Acceso!a!los!datos!!otorgado!por!el!responsable!del!fichero!o!del!tratamiento!a!un!encargado!del!tratamiento!que!preste!sus!servicios!en!los!locales!del!primero.!Si!aplica,!!indicar!que!el!personal!encargado!del!tratamiento!con!acceso!remoto!a!los!datos!tiene!el!!compromiso!de!cumplimiento!de!las!medidas!de!seguridad!!Si!el!tratamiento!se!realiza!por!terceros:!Identificación!y!tratamientos!de!los!ficheros!
!Si!el!tratamiento!se!realiza!por!terceros:!!Referencia!al!contrato!que!regula!el!encargo!
!Si!el!tratamiento!se!realiza!por!terceros:!!Identificación!del!responsable!
!Si!el!tratamiento!se!realiza!por!terceros:!Periodo!de!vigencia!
Constancia!de!si!el!tratamiento!!se!realiza!exclusivamente!por!parte!de!terceros.!
!Delegación!de!autorizaciones!(art.!84)!
Debe!figurar:!
Listado!de!personas!encargadas!de!otorgar!autorizaciones!de!acceso.!
Listado!de!persona!encargadas!de!delegar!la!función!de!autorización!de!acceso.!
Régimen!de!trabajo!fuera!de!los!locales!del!responsable!del!fichero!o!encargado!del!tratamiento!(art.!86)!
Debe!figurar:!
Si!los!datos!se!almacenan!fuera!de!los!locales!del!responsable!o!del!encargado!del!tratamiento,!constancia!de!este!hecho!y!de!la!autorización!por!escrito!de!los!usuarios!que!tendrán!acceso!y!su!periodo!de!validez!
Ficheros!temporales!o!copias!de!trabajo!de!documentos(art.!87)!
Ámbito!de!aplicación!del!documento.!Debe!figurar:!
Ámbito!de!aplicación!del!documento.!
Medidas,!normas,!procedimientos!de!actuación,!reglas!y!estándares!exigidos.!
Funciones!y!obligaciones!del!personal!en!relación!al!tratamiento.!
Estructura!de!los!ficheros!y!descripción!de!los!procedimientos!de!notificación,!gestión!y!respuesta!de!incidentes.!Procedimiento!de!realización!de!copias!de!seguridad!y!de!recuperación!de!los!datos!en!los!ficheros!automatizados.!Medidas!para!el!transporte!y!destrucción,!reutilización!de!soportes!físicos!o!documentos.!
!El!documento!de!seguridad!(art.!88)!
Debe!figurar:!
Funciones!de!cada!uno!de!los!usuarios!o!perfiles!con!acceso!a!los!datos!y!sistemas!que!los!albergan.!
Funciones!de!control!o!autorizaciones!delegadas!por!el!responsable!del!tratamiento!o!fichero.!
Funciones!y!Obligaciones!del!Personal!(art.!89)!
Debe!figurar:!
Listado!del!personal!autorizado!con!acceso!a!los!datos!
Autorización!a!la!salida!de!las!instalaciones!de!soportes!que!contienen!datos!de!carácter!personal!en!caso!de!no!estar!autorizada!por!el!responsable!del!fichero.!
64!!
Control!del!acceso!(art.91)!
Debe!figurar:!
Listado!del!personal!autorizado!con!acceso!a!los!datos!
Autorización!a!la!salida!de!las!instalaciones!de!soportes!que!contienen!datos!de!carácter!personal!en!caso!de!no!estar!autorizada!por!el!responsable!del!fichero.!
Identificación!y!Autenticación!(art.!93)!
Debe!figurar:!
!Periodicidad!establecida!para!el!cambio!de!contraseñas.!
Registro!de!accesos!(art.!103)!
Debe!figurar:!
Constatación!de!la!no!necesidad!de!registro!de!acceso!a!los!datos!dado!que:!El!responsable!del!fichero!o!del!tratamiento!es!una!persona!física.!Constatación!de!la!no!necesidad!de!registro!de!acceso!a!los!datos!dado!que:!!El!responsables!del!fichero!o!del!tratamiento!garantice!su!acceso!exclusivo!y!tratamiento.!
Nivel!Medio! Desarrollo!Normativo!
!! !!
Documento!de!seguridad!(art.!88)!
Debe!figurar:!
Las!identidades!del!responsable/s!de!seguridad!Ñ!!!Controles!periódicos!de!cumplimiento!de!lo!dispuesto!en!el!documentos!de!seguridad!
!
Tabla!5.!Documento!de!Seguridad!
!
5.2.3.2.7! Disposiciones!generales!LOPD!
Independientemente!del!nivel!de!privacidad!de!los!datos!a!tratar!y!acorde!a!la!LOPD!hay!una!
serie!de!disposiciones!generales!a!tener!en!cuenta.!Se!establecen!los!siguientes!puntos!de!
control.!
Artículo! Desarrollo!Normativo!
Derechos!Arco! Posibilidad!de!ejercer!derecho!de!acceso,!rectificación,!cancelación!y!oposición!de!los!datos!
Calidad!de!los!Datos!(Art.!4.5!&!Art!8.6!RD)!
Los!datos!de!carácter!personal!son!cancelados!cuando!dejan!de!ser!necesarios!para!lo!que!fueron!recabados!o!registrados!
Confidencialidad! Debe!de!ser!secreto!profesional!por!parte!del!responsable!del!fichero!y!personal!involucrado!en!el!tratamiento.!Aun!terminadas!las!relaciones!
Deber!de!secreto!(Art.10)! Acuerdo!de!confidencialidad!firmado!por!parte!del!prestador!de!servicios!Cloud!
Acceso!a!datos! Comprobar!que!se!incluye!en!el!contrato!el!acuerdo!de!servicios!con!el!proveedor!de!Cloud!que!realice!el!tratamiento!de!los!datos!los!siguientes!puntos!
Acceso!a!datos!por!cuenta!de!terceros.!(Art.12)!
Incluye!medidas!de!seguridad!de!obligado!cumplimiento!
Incluye!el!tratamiento!a!realizar!sobre!los!datos!fijado!por!el!responsable!del!fichero,!y!que!ha!de!seguir!el!proveedor.!
Incluye!finalidad!del!tratamiento!de!los!datos!
Incluye!la!prohibición!de!realizar!comunicaciones!de!los!datos,!ni!siquiera!para!su!conservación,!a!otras!personas.!
Se!destruye!o!entrega!en!el!formato!que!se!acuerde!toda!la!información!almacenada,!en!función!de!implicaciones!legales!de!conservación!a!las!que!estén!sujetas!los!datos.!
Acceso!a!datos!por!cuenta!de!terceros.!(Art.12)!
No!se!realiza!el!borrado!de!datos!una!vez!finalizada!la!relación!contractual!si!existe!un!previsión!legal!que!exija!su!conservación.!
Acceso!a!datos!por!cuenta!de!terceros.!(Art.12)!
Se!Conservan!!los!datos,!bloqueados,!si!pudiera!derivarse!responsabilidades!de!su!relación!con!el!responsable!del!tratamiento.!
Acceso!a!datos!a!través!de!redes!de!comunicaciones!(Art.85!RD)!
Se!Aplica!el!mismo!nivel!de!seguridad!al!acceso!de!los!datos,!tanto!si!se!realiza!de!forma!local!como!a!través!de!las!redes!de!comunicaciones.!
65!!
Comunicación!de!datos! Exigir!al!proveedor!de!servicios!CLOUD!la!comunicación!del!cambio!de!ubicación!de!los!datos,!responsable!del!fichero,!finalidad,!así!como!nombre!y!dirección!del!cesionario!de!los!datos.!!
!Notificación!e!inscripción!registral!(Art!26.3)!
Se!exige!al!proveedor!de!servicios!CLOUD!la!comunicación!del!cambio!de!ubicación!de!los!datos.!!
Comunicación!de!cesión!de!datos!(Art.!27)!
Se!exige!al!Proveedor!de!servicios!Cloud!que!facilite!nombre!y!dirección!como!!del!cesionario!de!los!datos.!!
Movimiento!internacional!de!!datos!
!No!podrá!realizarse!transferencias!temporales!ni!definitivas!de!datos!de!carácter!personal!que!hayan!sido!objeto!de!tratamiento!o!hayan!sido!recogidos!para!someterlos!a!dicho!tratamiento!con!destino!a!países!que!no!proporcionen!un!nivel!equiparable!al!que!presta!la!presente!ley.!
Movimiento!internacional!de!datos.!Norma!General!(Art.!33)!
El!proveedor!de!servicios!CLOUD!almacena!los!datos!en!territorio!español,!europeo!o!cuenta!con!un!acuerdo!internacional!de!datos!con!el!país!destino.!
se!conoce!la!ubicación!de!los!recursos!físicos!del!proveedor!Cloud.!
Transferencias!internacionales!de!datos.!(Titulo!VI.!RD)!
Se!tiene!un!nivel!adecuado!de!protección!acordado!por!la!Agencia!Española!de!Protección!de!Datos.!
Se!tiene!un!nivel!adecuado!de!protección!acordado!por!Decisión!de!la!Comisión!Europea!
Las!Transferencias!están!sujetas!a!autorización!del!Director!de!la!Agencia!Española!de!Protección!!
Auditoría!!Las!autoridades!de!control!podrán!inspeccionar!los!ficheros!y!!solicitar!la!exhibición!o!el!envío!de!documentos!y!datos!y!examinarlos!en!el!lugar!en!el!que!se!encuentren!depositados,!así!como!inspeccionar!los!equipos!físicos!y!lógicos!utilizados!para!el!tratamiento!de!los!datos,!accediendo!a!los!locales!donde!se!hallen!instalados.!
Potestad!de!inspección!(Art.40!RD)!
El!proveedor!Cloud!es!auditable!por!el!cliente!o!un!tercero!independiente!que!sea!autorizado!o!la!misma!AGPD!
Posibilidad!de!acceso!a!las!instalaciones!donde!residan!los!datos.!
Subcontratación! !!
Posibilidad!de!subcontratación!de!los!servicios!(Art.21!RD)!
El!encargado!del!tratamiento!no!podrá!subcontratar!con!un!tercero!la!realización!de!ningún!tratamiento!que!le!hubiera!encomendado!el!responsable!del!tratamiento,!salvo!que!hubiera!obtenido!de!éste!autorización!para!ello.!En!este!caso!la!contratación!se!efectuará!siempre!en!nombre!y!por!cuenta!del!responsable!del!tratamiento.!!
En!la!subcontratación!se!cumple!que!se!especifica!bajo!relación!contractual!servicios!objetos!de!subcontratación.!
En!la!subcontratación!se!cumple!que!se!ajusta!la!subcontratación!a!lo!dictaminado!por!el!responsable!del!fichero!
En!la!subcontratación!se!cumple!que!se!establece!un!contrato!en!el!que!se!exija!mismo!términos!que!los!exigidos!al!responsable.!
Encargado!del!tratamiento!
!!
Encargado!del!tratamiento!(Art.82.RD)!
El!personal!encargado!del!tratamiento!con!acceso!local!a!los!datos!tiene!compromiso!de!cumplimiento!de!las!medidas!de!seguridad!establecidas.!
Encargado!del!tratamiento!(Art.82.RD)!
El!personal!encargado!del!tratamiento!con!acceso!remoto!a!los!datos!tiene!compromiso!de!cumplimiento!de!las!medidas!de!seguridad!establecidas.!
Medias!de!seguridad!Backup!
!!
Artículo!87.!RD!Ficheros!temporales!o!copias!temporales!de!documentos.!
Se!aplica!mismo!nivel!de!seguridad!a!las!copias!o!ficheros!temporales!que!los!datos.!!
Artículo!87.!RD!Ficheros!temporales!o!copias!temporales!de!documentos.!
Se!eliminan!las!copias!o!ficheros!temporales!una!vez!dejan!de!ser!necesarios!para!el!objetivo!que!fueron!creadas.!
!
Tabla!6.!Disposiciones!generales!
6.! CUMPLIMIENTO!LOPD.!¿ASEGURAR!O!DEMOSTRAR?!
Una!vez!explicado!que!es!un!servicio!en!la!nube!y!la!legislación!aplicable!a!estos!servicios!
desde!un!punto!de!vista!de!la!privacidad!de!datos,!y!de!la!externalización!de!servicios!por!
66!!
parte! de! una! empresa! o! persona,! debemos! abordar! el! tema! del! cumplimiento! de! estos!
servicios!a!la!actual!legislación.!
En!este!punto,!que!es!el!más! importante!del!documento,!podemos!abordar!el!problema!
desde!dos!perspectivas,!“asegurar”!o!“demostrar”,!o!ambas.!
Cuando!hablamos!de!“asegurar”,!nos!referimos!a!la!transferencia!de!responsabilidad!que!
pueden! hacer! las! empresas! que! contratan! un! servicio! Cloud! a! los! mismos! proveedores!
mediante!la!inclusión!de!SLAs!o!cláusulas!en!la!contratación!de!los!servicios.!!
Por! otro! lado,! cuando! hablamos! de! “demostrar”,! ! nos! referimos! a! la! forma! en! que! los!
diferentes! proveedores! de! servicios! Cloud! tratan! de! demostrar! que! cumplen! con! las!
medidas! de! seguridad! que! requieren! este! tipo! de! servicios! mediante! la! acreditación! o!
certificación!de!estándares!o!normativas!internacionales.!!
Depende!del!modelo!contratado!(SaaS,!PaaS,!Iaas)!y!lo!acordado!por!contrato,!la!gestión!de!
la!información!la!puede!realizar!el!cliente,!el!proveedor!de!servicios!que!los!presta!o!terceras!
partes!que!a!su!vez!éste!tenga!contratados.!Sin!embargo!la!responsabilidad!legal!de!los!datos!
siempre!recae!en!el!cliente!que!contrata!los!servicios,!o!en!ambas!partes!si!es!debido!a!un!
incumplimiento!de!contrato.!!
Por!lo!tanto,!es!necesario!de!cara!al!cumplimiento!de!la!LOPD!española,!establecer!una!serie!
de!puntos!de!control!que!dictaminen!el!cumplimiento!de!dicha!normativa!y!que!aseguren,!
que! el! “encargado! del! tratamiento”! (proveedor! de! servicios! Cloud),! cumpla! con! tales!
requisitos!y!a!su!vez,!!queden!plasmados!bajo!relación!contractual.!!
La!manera!mejor,!y!más!fiable,!de!asegurarnos!de!que!se!cumple!con!el!correcto!tratamiento!
de! los! datos! es! que! los! proveedores! dispongan! de! las! certificaciones! que! atestigüen! el!
correcto!uso!de!los!datos!por!su!parte.!
Esto!no!siempre!se!da.!Bien!sea!por!interés!técnico,!económico,!sinergia!con!otras!áreas!o!
por!el!tipo!de!contrato!Cloud!que!se!formaliza,!lo!cierto!es!que!en!ocasiones!el!acuerdo!se!
da!incluyendo!proveedores!que!no!disponen!de!estas!certificaciones.!
Es!por!ello!que!hemos!elaborado!este!capítulo.!Por!un!lado!proveemos!de!una!herramienta!
para!facilitar!el!análisis!de!cumplimiento!de!la!LOPD,!por!otro!lado!adjuntamos!un!análisis!
67!!
del! documento! creado! por! la! Agencia! Española! de! Protección! de! datos,! denominado!
Cláusulas!contractuales!y!cuyo!objetivo!es!!la!correcta!definición!de!las!responsabilidades.!
6.1! ASEGURAR!O!CLÁUSULAS!CONTRACTUALES!
6.1.1! CLÁUSULAS!CONTRACTUALES!DEFINIDAS!DESDE!LA!AGENCIA!ESPAÑOLA!DE!PROTECCIÓN!DE!DATOS!
Para!facilitar!los!términos!y!condiciones!que!se!han!de!reflejar!dentro!del!contrato!para!la!
dotación!del!servicio,!desde!la!Agencia!Española!de!Protección!de!datos,!se!ha!elaborado!un!
documento,! denominado:! Cláusulas' contractuales' («encargados' a' subencargados' del'
tratamiento»),'el!cual!está!compuesto!por!once!cláusulas!y!dos!apéndices!para!la!correcta!
definición!de!las!responsabilidades.!
Es!necesario!que!la!empresa!contratante!incluya!los!acuerdos!de!niveles!de!servicio!(SLA)!y!
penalizaciones!en!caso!de!incumplimiento!de!los!términos!y!condiciones.!
Debido!a!que!el!cumplimiento!de!la!LOPD!es!una!ley!en!cuya!aplicación!se!necesita!estudiar!
con!detenimiento!cada!caso,!la!AEPD!facilita!resoluciones!de!casos!reales!para!orientarnos!
en!caso!de!conflicto!entre!las!partes.!!
A!continuación!se!mostrara!un!resumen!de!los!aspectos!clave!del!mismo.!!
En! su! primera! parte! pide! regirse! por! la! Directiva! 95/46/CE,! y! datos! de! ubicación!
responsabilidades:!!
Se! pide! la! entidad! de! la! empresa! ubicada! en! España! a! la! empresa! que! proporciona! los!
servicios,!así! como!definición!de!contrato! si! los!datos!no! se!van!a!ubicar!en!país!que!no!
proporciona! el! nivel! de! protección! adecuado! de! conformidad! con! la! directiva! 95/46/ce.!
Estos!servicios!han!de!especificarse!en!el!contrato!y!en!el!apéndice!1!fuera!del!territorio!del!
Espacio!Económico!Europeo.!
En!el!contrato!marco!se!acuerda!y!garantiza:!
Las!medidas!de!seguridad!técnicas!y!organizativas!implantadas!por!el!exportador!de!datos!
4! Obtener! la! autorización! del! cliente/responsable! del! tratamiento! para! el! posible!
subtratamiento!ulterior!de!datos.!
68!!
4! Que!el!exportador!de!datos!exigirá! las!medidas!de!seguridad!técnicas!y!organizativas,!
previstas! en! el! contrato! marco,! al! importador! de! datos! y! en! su! caso! al! subencargado!
ulterior.!
4! Que!si! la!transferencia! incluye!datos!especialmente!protegidos!el!cliente/responsable!
del! tratamiento! informará! a! los! interesados! del! destino! de! los! datos,! es! decir! su!
destrucción!o!devolución.!
!6.1.1.1! Clausulas&&&Apéndices&
A!continuación!se!acuerdan!un!resumen!de!las!11!cláusulas!contractuales!del!documento!
de!la!AEPD.!
!
El!objetivo!de!este!documento!es!ofrecer!garantías!suficientes!respecto!de!la!protección!de!la!
vida!privada!y!los!derechos!y!libertades!fundamentales!de!las!personas!para!la!transferencia!
por!el!exportador!al!importador!de!los!datos!personales.!
!
Cláusula'1!=!Definiciones!!
Aclaración!de!conceptos!
!Cláusula'2''a'Detalles!de!la!transferencia!
Las! categorías! especiales! de! los! datos! personales,! quedan! especificados! si! procede! en! el!
apéndice!1,!que!forma!parte!integrante!de!las!presentes!cláusulas.!
!Cláusula!3!=!!Cláusula!de!tercero!beneficiario!
Los! interesados! podrán! exigir! al! importador! de! datos! el! cumplimiento! de! la! presente!
cláusula,!las!letras!a)!a!e)!y!g)!de!la!cláusula!5,!la!cláusula!6,!la!cláusula!7,!el!apartado!2!de!la!
cláusula!8!y!las!cláusulas!9!a!12,!cuando!el!exportador!de!datos!haya!desaparecido!de!facto!
o!haya!cesado!de!existir!jurídicamente.!
Cláusula'4'a''Obligaciones!del!exportador!de!datos!
Obligaciones!de!conformidad!con!la!legislación!de!protección!de!datos!aplicables:!
69!!
•! Pondrá!a!disposición!de!los! interesados,!previa!petición!de!estos,!una!copia!de!las!
cláusulas,! y! copia! de! cualquier! contrato! para! los! servicios! de! subtratamiento!
ulterior!de!los!datos!que!debe!efectuarse!de!conformidad!con!las!cláusulas,!!
•! En!caso!de!subtratamiento!por!lo!menos!el!mismo!nivel!de!protección!de!los!datos!
personales!!y!la!autorización!del!responsable!del!tratamiento.!
•! Mantendrá!una!lista!actualizada!de!los!responsables!del!tratamiento!y!ficheros!a!cuyos!
datos!se!refiera!la!transferencia.!
•! Comunicará!al! responsable!del! tratamiento!cualquier!acuerdo!que!el! importador!de!
datos!pretenda!concluir!al!amparo!de!la!cláusula!11!para!obtener!su!autorización;!
•! Enviará,!sin!demora,!al!responsable!del!tratamiento!una!copia!de!cualquier!acuerdo!del!
importador!de!datos!con!el!subencargado!!
•! Promoverá!las!medidas!de!auditoría!previstas!en!este!documento!cuando!así!lo!solicite!
el! responsable!del! tratamiento,!dándole! traslado!en!todo!caso!de! los! resultados!de!
dichas!medidas,!así!como,!en!su!caso,!la!identificación!del!organismo!que!las!hubiera!
llevado!a!cabo.!
•! Tratará!los!datos!personales!transferidos!solo!por!cuenta!del!.exportador!de!datos,!de!
conformidad!con!sus!instrucciones.!
•! No!tiene!motivos!para!creer!que!la!legislación!que!le!es!de!aplicación!le!impida!cumplir!
las!instrucciones!del!exportador!de!datos!
•! Notificará!sin!demora!al!exportador!de!datos!sobre:!
o! Toda! solicitud! jurídicamente! vinculante! de! divulgar! los! datos! personales!
presentada!por!una!autoridad!encargada!de!la!aplicación!de!la!ley!a!menos!que!
esté! prohibido,! por! ejemplo,! por! el! Derecho! penal! para! preservar! la!
confidencialidad! de! una! investigación! llevada! a! cabo! por! una! de! dichas!
autoridades,!
o! Todo!!acceso!accidental!o!no!autorizado,!
o! Toda! solicitud! sin! respuesta! recibida! directamente! de! los! interesados,! a!
menos!que!se!le!autorice!
•! Se! atendrá! a! la! opinión! de! la! Agencia! Española! de! Protección! de! Datos! en! lo! que!
respecta!al!tratamiento!de!los!datos!transferidos;!
•! Ofrecerá! a! petición! del! exportador! de! datos! y! del! responsable! del! tratamiento! sus!
instalaciones! de! tratamiento! de! datos! para! que! se! lleve! a! cabo! la! auditoría! de! las!
70!!
actividades! de! tratamiento! cubiertas! por! las! cláusulas.! Ésta! será! realizada! por! el!
exportador!de!datos!o!por!un!organismo!de!inspección,!compuesto!por!miembros!
•! Pondrá! a! disposición! de! los! interesados,! previa! petición! de! éstos,! una! copia! de! las!
cláusulas,!o!de!cualquier!contrato!existente!para!el!subtratamiento!ulterior!
!
Cláusula'6'–&Responsabilidad!
Tendrán!derecho!a!percibir!una!indemnización!del!exportador!de!datos!para!el!daño!sufrido.!
El!importador!de!datos!acepta!que!el!interesado!pueda!demandarle!y!no!podrá!basarse!en!un!
incumplimiento!de!un!subencargado!ulterior.!
!Cláusula'7''a'Mediación!y!jurisdicción!!
El!importador!de!datos!aceptará!la!decisión!del!interesado!de:!
Someter!el!conflicto!a!mediación!de!la!Agencia!Española!de!Protección!de!Datos,!someter!el!
conflicto!a!los!tribunales!españoles!y!obtener!reparación!de!conformidad!con!otras!disposiciones!
de!Derecho!nacional!o!internacional.!
!Cláusula'8'a'Cooperación!con!la!Agencia!Española!de!Protección!de!datos'
El!exportador!de!datos!acuerda!depositar!una!copia!!y!que!la!Agencia!Española!de!Protección!de!
Datos!está!facultada!para!auditar!al!importador,!o!a!cualquier!subencargado!ulterior!
'Cláusula'9'a''Legislación!aplicable!
Las!cláusulas!se!regirán!por!la!legislación!española.!!Cláusula'10''a'Variación!del!contrato!
Las!partes!se!comprometen!a!no!variar!o!modificar!las!presentes!cláusulas!
!Cláusula'11'Subtratamiento!ulterior!de!datos!
Necesario!previo!consentimiento!por!escrito!del!exportador!de!datos,!que!deberá!
haber!obtenido!la!autorización!del!responsable!del!tratamiento!de!conformidad.!
El! contrato! escrito! previo! entre! el! importador! de! datos! y! el! subencargado! ulterior! del!
tratamiento!contendrá!asimismo!una!cláusula!de!tercero!beneficiario,!para!los!casos!en!que!el!
interesado!no!pueda!interponer!la!demanda!de!indemnización,!contra!el!exportador!de!datos!o!
71!!
el! importador! de! datos! por! haber! estos! desaparecido! o! bien! devolver! todos! los! datos!
personales!transferidos!y!sus!copias,!o!bien!destruirlos!por!completo.'
!!Apéndice'1!=!A!las!cláusulas!contractuales!
El!presente!apéndice!forma!parte! integrante!de! las!cláusulas!y!deberá!ser!cumplimentado!y!
suscrito!por!las!partes.!Necesario!definir:!
!
o! Exportador!de!datos!
o! Importador!de!datos!
o! Interesados!
o! Categorías!de!datos!
o! Categorías!especiales!de!datos!(si!es!pertinente)!
!!Apéndice'2!=!A!las!cláusulas!contractuales!
El!presente!Apéndice! forma!parte! integrante!de! las! cláusulas!y!deberá! ser! cumplimentado!y!
suscrito!por!las!partes.!En!él!se!ha!de!completar!con!la!descripción!de!las!medidas!de!seguridad!
técnicas.!
!
6.2! DEMOSTRAR!O!CERTIFICACIONES!
6.2.1! ¿POR!QUÉ!CONFIAR!EN!CERTIFICACIONES!Y!ESTÁNDARES?!
El!primero!de! los!motivos,!es!que!estos!frameworks,!estándares,!certificaciones,!normas,!
etc.,! se! basan! en! el! duro! trabajo! y! conocimiento! acumulado! de! expertos,! grupos! y!
organizaciones!de!la!industria!que!aúnan!esfuerzos!para!crear!los!controles,!que!según!su!
experiencia! y! criterio! consiguen! de! forma!más! eficaz!mitigar! los! riesgos! que! entraña! la!
externalización!de!servicios!a!un!entorno!Cloud.!!
Debemos! tener! en! cuenta,! que! es!muy! probable! que! las! empresas! que! contratan! estos!
servicios,!no!tengan!experiencia!suficiente!para!realizar!este!tipo!de!valoraciones,!o!personal!
que!efectúe!los!controles,!o!el!propio!proveedor!de!servicios!capacidad!para!permitir!a!los!
clientes!auditar!sus!sistemas.!
72!!
El! segundo! punto! a! favor,! es! que! este! tipo! de! marcos! de! trabajo! son! actualizados!
regularmente,!teniendo!en!cuenta!los!niveles!de!madurez!de!la!tecnología!y!experiencia!de!
expertos!desde!diferentes!acercamientos.!
6.2.2! NORMATIVA!Y!ESTÁNDARES!DESEABLE!EN!UN!PROVEEDOR!DE!SERVICIOS!CLOUD.!!
6.2.2.1! ESTÁNDARES&ISO/IEC&
La!ISO!27000,!es!una!familia!de!estándares!cuyo!fin!es!el!de!ayudar!a!las!organizaciones!a!
mantener!sus!activos!de!información!seguros.!
ISO/IEC!27.001!–!Estándar!para!la!Elaboración!de!un!Sistema!de!Gestión!de!Seguridad!de!
la!Información!(SGSI)!33!
!Fue!publicada!el!15!de!Octubre!de!2005,!y!revisada!el!25!de!Septiembre!de!2013,!y!se!trata!
de! la! norma! principal! de! la! serie! 27000,! desarrollada! en! base! a! la!
antigua!norma!británica!BS!7799=2.!
Esta! norma! o! estándar! especifica! los! requisitos! necesarios! para!
establecer,!implantar,!mantener!y!mejorar!un!Sistema!de!Gestión!de!
la!Seguridad!de!la!Información!(SGSI).!
La!equivalencia!española!sería!la!norma!AENOR!UNE=ISO/IEC!27001:2014.!
ISO/IEC!27.002!–!Código!de!buenas!prácticas!y!controles!para!implementar!un!Sistema!de!
Seguridad!de!la!Información.34!
Desarrolla!los!objetivos!y!controles!especificados!en!el!“Anexo!A”!de!la!ISO/IEC!27001,!para!
poder!implementar!un!SGSI!en!las!organizaciones,!de!forma!que!cuando!una!empresa!desea!
certificarse! conforme! a! estándar! 27.001,! debe! cumplir! con! cada! uno! de! los! controles!
desarrollados!en!la!27.002.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33!ISO!27001.!URL:!http://www.iso.org/iso/home/standards/management=standards/iso27001.htm!!34!ISO!27002.!URL:!https://www.iso.org/obp/ui/#iso:std:54533:en!!
73!!
ISO/IEC! 27.017! –! Código! de! buenas! prácticas! ! para! el! control! de! la! seguridad! de! la!
información,!basada!en!la!ISO/IEC!27002!para!servicios!en!la!nube.35!!
Como!respuesta!a!la!necesidad!de!estándar!internacional!que!atendiera!a!las!necesidades!
del!nuevo!paradigma!de!la!computación,!es!decir,!el!Cloud!computing,!la!organización!de!
estándares! internacional! ISO,! ha! desarrollado! los! estándares! 27.017! (el! estándar! 27.017!
continúa!en!desarrollo!actualmente)!y!27.018.!!
En!este!caso,!la!ISO!27.017!se!tratará!de!una!serie!de!controles!que!complementan!a!los!ya!
desarrollados!en!la!ISO!27.002,!pero!que!tratan!de!manera!específica!los!servicios!cloud.!
ISO/IEC!27.018!–!Código!de!buenas!prácticas!para!la!protección!de!información!de!carácter!
personal!en!“nube!pública”!que!actúan!como!encargado!del!tratamiento!de!los!datos.36!
Publicada!el!1!de!agosto!de!2014,!y!consiste!en!un!código!de!buenas!prácticas!y!controles!
que!tratarán!de!asegurar!una!correcta!protección!de!los!datos!de!carácter!personal!que!se!
almacenen!en!servicios!en!la!nube.!
De! la!misma!forma!que!en!el!caso!anterior,!esta!norma!o!estándar!especifica!unas!guías!
basadas!en!la!ISO!27.002,!considerando!los!aspectos!regulatorios!para!la!protección!de!los!
datos!de!carácter!personal!en!un!contexto!de!riesgo,!como!es!el!caso!del!Cloud.!
Esta!norma!es!aplicable!a!todo!tipo!de!organizaciones,!independientemente!del!tamaño,!ya!
sean!públicas!o!privadas,!que!tratan!datos!personales.!
Según!ISO!(2015,!pág.!10):!!
“Siendo'la'primera'norma'que'se'ocupa'de'la'protección'de'datos'de'carácter'personal'para'
el'cloud,'la'ISO/IEC'27.018'tiene'los'siguientes'objetivos'principales:'
•! Ayuda'a' los'proveedores'de'servicios'en'el'cloud'que'procesan'datos'personales'a'hacer' frente' a' las' obligaciones' legales' aplicables' así' como'a' las' expectativas' del'cliente.'
•! Habilita'la'transparencia'para'que'los'clientes'puedan'elegir'servicios'en'el'cloud'bien'gobernados.'
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35!ISO!27017.!URL:!http://www.iso.org/iso/home/standards_development/list_of_iso_technical_committees/iso_technical_committee.htm?commid=45306!!36!ISO!27018.!URL:!https://www.iso.org/obp/ui/#iso:std:iso=iec:27018:ed=1:v1:en!
74!!
•! Facilita'la'creación'de'contratos'de'servicios'en'el'cloud.'•! Proporciona' a' los' clientes' en' el' cloud' un' mecanismo' para' garantizar' que' los'
proveedores'del'cloud'cumplan'con'las'obligaciones'legales'y'otras.”'!
Una!aportación!clara!la!hace!Maria=Martina!!(Yalamova,!2015):!
“la' norma' ISO/IEC' 27.018' especifica' ciertos' tipos'mínimos' de'medidas' de' seguridad' que'
deben'adoptar' los'proveedores'del'cloud,' incluyendo'controles'de'cifrado'y'de'acceso.'La'
norma' también' requiere' que' los' proveedores' del' cloud' implementen' políticas' de'
sensibilización' sobre' seguridad' y' hacer' que' el' personal' pertinente' esté' al' tanto' de' las'
consecuencias'potenciales'(para'el'personal,'el'proveedor'del'cloud'y'el'cliente)'de'violar'las'
reglas'de'privacidad'y'seguridad”!
6.2.2.2! Puerto&Seguro&
Como!se!comentó!anteriormente!el!denominado!Puerto!Seguro,!o!Decisión!
520/2000/CE!implica!una!serie!de!principios!con!los!que!las!empresas!que!
se!comprometen!con!el!fin!de!mantener!un!nivel!adecuado!de!protección!
de!datos!personales,!en!concordancia!con!la!directiva!95/46/CE.!
6.2.2.3! Cláusulas&tipo&de&la&Unión&Europea&
Otra! garantías! a! tener! en! cuenta! sería! el! que! el! proveedor! Cloud! adopte! las! cláusulas!
contractuales! tipo!para! la! transferencia! internacional!de!datos!personales! incluidas!en! la!
Decisión!2010/87/UE!de!la!Comisión,!de!5!de!febrero!de!2010,!que!igual!que!en!el!caso!del!
Puerto!Seguro,!estarían!en!conformidad!con!la!Directiva!95/46/CE!del!Parlamento!Europeo!
y!del!Consejo.!
6.2.2.4! HIPAA37&
Ley!estadounidense!de!portabilidad!y!responsabilidad!de!seguros!
médicos,!que!trata!de!asegurar!un!entorno!seguro!para!procesar,!
mantener!y!almacenar!información!personal!de!carácter!sanitario.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37!Health'Insurance'Portability'and'Accountability'Act.!URL:!http://www.hhs.gov/ocr/privacy!
75!!
6.2.2.5! PCI&DSS&38&
Estándar! de! seguridad! de! datos! (Data' Security' Standard,! DSS)!
relativo!al!sector!de!las!tarjetas!de!pago!que!se!encarga!de!asegurar!
que! la! infraestructura! de! pagos! del! proveedor! cloud! cumple! las!
garantías! de! seguridad!para! el! almacenamiento,! procesamiento! y!
transmisión!de!datos!de!tarjeta!de!crédito.!!
6.2.2.6! SSAE&16&/&ISAE&340239&
SSAE! 16! (Statement! on! Standards! for! Attestation! Engagements!
No.!16),!que!sucede!a!SAS!70,!e!ISAE!3402!(International!Standards!
for!Attestation!Engagement!No.!3402) !son!normas!de!auditoría!
que!ha!establecido!el!Instituto!Americano!de!Contadores!Públicos!
Certificados! (AICPA)! y! el! Consejo! de!Normas! Internacionales! de!
Auditoría! de! la! Federación! Internacional! de! Contables,!
respectivamente,! y! están! orientadas! a! las! organizaciones! de! servicios.! Este! tipo! de!
organizaciones!son,!por! lo!general,!entidades!que!proporcionan!servicios!de!contratación!
externa!con!una!repercusión!sobre!el!entorno!que!controla!a!sus!clientes.!Entre!los!ejemplos!
de!organizaciones!de!servicios!se!encuentran!los!procesadores!de!seguros!y!reclamaciones!
médicas,! centros! de! datos! hospedados,! proveedores! de! servicios! de! aplicaciones! y!
proveedores!de!seguridad!administrada.!Ambas!normas!de!auditoría,!SSAE!16!e!ISAE!3402,!
son!verificaciones!independientes!del!cumplimiento!con!los!controles!de!seguridad!y!de!la!
eficacia!de!tales!controles.!
Una!vez!se!complete!la!inspección!de!un!auditor!de!servicios!según!la!norma!SSAE!16/ISAE!
3402!("auditoría!SSAE!16"),!el!auditor!de!servicios!presenta!una!opinión!sobre!la!siguiente!
información:!
1. Si!la!descripción!que!da!la!organización!de!servicios!sobre!los!controles!es!adecuada.!
2. Si!los!controles!de!la!organización!de!servicios!se!han!diseñado!eficazmente.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38!Payment'Card'Industry.!URL:!https://es.pcisecuritystandards.org!39! Seguridad,! auditorías! y! certificaciones.! URL:! http://www.microsoft.com/online/legal/v2/es=es/MOS_PTC_Security_Audit.htm!!
76!!
3. Si!los!controles!de!la!organización!de!servicios!se!han!puesto!en!marcha!en!una!fecha!
específica.!
4. Si! los! controles! de! la! organización! de! servicios! se! ejecutan! con! eficacia! durante! un!
periodo!de!tiempo!especificado.!(Solo!para!el!Tipo!II!de!SSAE!16!(SOC!1)).!
SOC!1!
Una!auditoría!del!informe!SOC!1!(Service'Organization'Controls)!certifica!que!los!objetivos!
de!control!del!proveedor!Cloud!se!han!diseñado!de!forma!adecuada,!y!que!estos!controles!
protegen!los!datos!de!carácter!personal!de!los!clientes!de!una!forma!adecuada.!
SOC!2!
El!informe!SOC!2!es!un!informe!similar!al!SOC!1!en!la!evaluación!de!los!controles,!pero!amplía!
los!criterios!establecidos!por!los!principios!de!la!AICPA.!!
SOC!3!
El! informe!SOC!3!es!un! resumen!del! informe!SOC!2,! que! incluye! la!
opinión! de! un! auditor! externo,! acerca! del! funcionamiento! de! los!
controles,! y! que! también! incluye! el! sello! de! seguridad! SysTrust! del!
AICPA.!
6.2.2.7! FedRAMP(SM)40&
FedRAMP!es!un!programa!del!Gobierno!de!los!Estados!Unidos!
que!ofrece!un!planteamiento!estandarizado!para!la!evaluación!
de!la!seguridad,!la!autorización!y!la!supervisión!de!forma!regular!
de!productos!y!servicios!en!la!nube.!
6.2.2.8! FERPA41&
FERPA!es!un!Acta!Federal!norteamericana!que!se!encarga!de!regular! la!privacidad!en! los!
datos!de!carácter!personal!en!el!ámbito!educativo.!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40!Federal'Risk'and'Authorization'Management'Program.!URL:!https://www.fedramp.gov!41!Family'Educational'Rights'and'Privacy'Act.!URL:!http://www.ed.gov/policy/gen/guid/fpco!
77!!
El! acta!ha! sido! conocida! como! la!Enmienda!Buckley,! y! se!aplica!a! todas! las! instituciones!
educativas!en!Estados!Unidos!que!reciben!fondos!educativos!del!Gobierno.!!
6.2.2.9! OTROS&
Otras!normativas!que!de!forma!directa!o! indirecta!afectan!a! la!seguridad!y!privacidad!de!
datos!personales:!
NORMATIVA! URL!
FISMA! http://csrc.nist.gov/drivers/documents/FISMA=final.pdf!
DIACAP! http://www.dtic.mil/whs/directives/corres/pdf/851001_2014.pdf!
ITAR! https://www.pmddtc.state.gov/regulations_laws/itar.html!
MPAA! http://www.mpaa.org/privacy=policy/!
FIPS!140=2! http://csrc.nist.gov/publications/fips/fips140=2/fips1402.pdf!
US!Government!Cloud! http://iase.disa.mil/cloud_security/Pages/index.aspx!
UK!Digital!Marketplace!G=Cloud!6!https://digitalmarketplace.blog.gov.uk/2015/02/02/g=cloud=6=services=live=on=the=digital=marketplace/!
CJIS! https://www.fbi.gov/about=us/cjis!
GBLA!https://www.ftc.gov/tips=advice/business=center/privacy=and=security/gramm=leach=bliley=act!
!
Tabla!7.!Normativas!de!seguridad!y!privacidad!de!los!datos!
6.2.3! CLOUD!CONTROL!MATRIX!–!CLOUD!SECURITY!ALLIANCE!
La!CSA!es!la!organización!líder!en!el!mundo!dedicada!a!
concienciar!y!promover!el!uso!de!buenas!prácticas!que!
garanticen! la! seguridad! y! privacidad! en! entornos!
Cloud.!!
CSA!promueve!una!certificación!para!proveedores!en!la!nube!llamada!STAR!(Security,'Trust'
&'Assurance'Registry),!compuesta!de!un!programa!de!seguridad!para!proveedores!de!tres!
niveles,!y!que!puede!ser!utilizado!de!forma!que!se!auto=evalúan!las!empresas,!o!utilizar!a!
terceras!partes!para!realizar!la!auditoría.!
Por! otro! lado,! la! CSA! ha! desarrollado! una! herramienta! para! evaluar! la! seguridad! de! los!
proveedores,!llamada!Cloud'Control'Matrix!(CCM).!
78!!
La! CCM! es! una! herramienta! diseñada! específicamente! para! dotar! de! unos! principios! de!
seguridad!fundamentales!a!los!proveedores!de!servicios!en!la!nube!y!a!los!clientes!de!estos!
servicios!que!los!guíen!a!la!hora!de!valorar!la!seguridad!y!el!riesgo!del!servicio!en!la!nube.!
La! herramienta! dispone! de! un! total! de! 98! controles! de! referencia,! que! cubren! los! once!
dominios!identificados!por!CSA:!
1.! Cumplimiento.!
2.! Gobernabilidad!de!la!información.!
3.! Seguridad!Física.!
4.! Recursos!Humanos.!
5.! Seguridad!de!la!Información.!
6.! Aspectos!Legales.!
7.! Gestión!de!Operaciones.!
8.! Gestión!de!Riesgos.!
9.! Gestión!de!Releases.!
10.!Resistencia!(Resiliency).!
11.!Arquitecturas!de!seguridad.!
En! la! CCM,! CSA! mapea! los! diferentes! estándares! industriales,! regulaciones! y! marcos,!
incluyendo!las!ISO!27000,!PCI!DSS,!HIPAA!y!COBIT.!!
Los! controles! CCM,!han! sido!mapeados! con! la! RLOPD!por! el! ISMS! Forum,!de! forma!que!
podemos!utilizarlo!para!comprobar!el!grado!de!seguridad!de!un!determinado!proveedor.!42!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42!ismsforum:'https://www.ismsforum.es/noticias/424/el=capitulo=espanol=de=cloud=security=alliance=publica=la=version=espanola=
del=cloud=controls=matrix/!
!
! 79!
6.2.4! RESUMEN+DE+CERTIFICACIONES+EN+PROVEEDORES+
DOMINIOS+DE+CUMPLIMIENTO+Y+NORMATIVA+CUMPLIMIENTO!
MICROSOFT+AZURE+
AMAZON+WEB+SERVICES+
GOOGLE+CLOUD+ DROPBOX+BUSINESS+ SOFLAYER+IBM+
LOPD! SÍ# #NO# #NO# #NO# #NO#ISO!27001! Sí# Sí# Sí# Sí# Sí#ISO!27018! Sí# #NO# NO## Sí# Sí#CSA! Sí# Sí# Sí# Sí# #Sí#UE!Puerto!Seguro!520/2000/CE! Sí# Sí# Sí## Sí# Sí#Cláusulas!Tipo!UE!C!2010/87/UE! Sí# #SÍ# #Sí# NO*## Sí#US!Government!Cloud! Sí# Sí# #NO*# #NO*# #NO*#UK!Digital!Marketplace!GCCloud!6! Sí# Sí# #NO*# Sí# Sí#SOC!1/SSAE!16/ISAE!3402!(anteriormente,!SAS70)! Sí# Sí# Sí# Sí# Sí#SOC!2! Sí# Sí# Sí# Sí# Sí#SOC!3! Sí# Sí# Sí# Sí# Sí#PCI!DSS! Sí# Sí# Sí# Sí# Sí#HIPAA! Sí# Sí# Sí# NO# Sí#FedRAMP! Sí# Sí# #NO**## NO# Sí##DIACAP! Sí# Sí# NO*## NO# #NO#FISMA! Sí# Sí# Sí# NO# Sí##ITAR! Sí# Sí# NO*## NO# NO##FIPS!140C2! Sí# Sí# #NO*## NO# NO##MPAA! SÍ# SÍ# NO*## NO# NO#*#No#se#ha#encontrado#información#al#respecto.#**#En#proceso#de#certificación.##
+
Tabla+8.+Cumplimiento+normativa+de+proveedores+Cloud
! 80!
6.2.5! ANÁLISIS+GENERAL+DE+PROVEEDORES+
En! este! punto! vamos! tratar! de! inferir! el! nivel! de! seguridad! que! una! muestra! de! los!
proveedores! Cloud! más! importantes! actualmente! han! alcanzado,! basándonos! en! el!
cumplimiento!y!certificaciones!de!estándares! internacionales!y!normativas! referente!a! la!
seguridad!y!protección!de!los!datos!de!carácter!personal.!!
Estos!niveles!de!seguridad!son!una!clara!muestra!del!compromiso!de!los!proveedores!con!
respecto! a! la! seguridad! de! los! datos! personales,! y! dan! una! visión! objetiva! a! aquellas!
empresas!que!se!estén!planteando!migrar!parte!de!sus!servicios!o!infraestructura!a!la!nube.!!
El! cuadro! se!ha!elaborado!a!partir!de! la! información!pública! facilitada!por! los!diferentes!
proveedores!en!la!página!web,!en!las!cláusulas!al!darte!de!alta!en!un!servicio!y!en!posteriores!
consultas!directas!al!en!algunos!casos!al!proveedor.!!
6.2.5.1! Primer+punto.+LOPD+
En!el!primer!punto,!debemos!destacar!a!Microsoft!como!líder!indiscutible!en!servicios!en!la!
nube,!en!lo!que!a!privacidad!y!seguridad!de!los!datos!se!refiere.!
Cuando!hablamos!de!los!servicios!Cloud!de!Microsoft,!nos!encontramos!ante!un!operador!
atípico,! pues! es! el! primer! y! único! proveedor! de! servicios! en! la! nube! que! ha! recibido! el!
respaldo!de!la!AEPD!mediante!resolución43,!en!lo!que!respecta!a!las!garantías!y!solvencia!
que!ofrecen!sus!servicios!corporativos!en!cuanto!al!cumplimiento!con!la!LOPD.!
Esto!significa!que!la!EAPD!reconoce!a!Microsoft!como!exportador!válido!de!datos,!al!estar!
el!núcleo!de!sus!centros!de!datos!en!Estados!Unidos,!y! la!comodidad!de!que!sus!clientes!
únicamente! tendrán! que! notificar! a! la! Agencia! la! trasferencia! internacional! utilizando! el!
código!otorgado!a!Microsoft,!sin!necesidad!de!autorización!previa.!!
Ningún!otro!operador!ha!alcanzado!este!tipo!de!acuerdos!con!la!AEPD.!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43!!Agencia!Española!de!Protección!de!Datos.!Resolución!de!declaración!de!adecuación!de!garantías!para!las!transferencias!internacionales!de!datos!a!los!Estados!Unidos!con!motivo!de!la!prestación!de!servicios!de!computación!en!nube.!http://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/auto_transf_2014/common/pdfs/TIZ00032Z2014_ResolucionZdeZfechaZ09Z05Z2014_deZMICROSOFTZCORPORATION_aZEstadosZUnidos.pdf!!
!81!
!
6.2.5.2! Segundo+punto.+Safe+Harbor+y+Cláusulas+Contractuales+Tipo+
Figura+12.+Safe+Harbor+
Con!respecto!al!Puerto!Seguro,!debemos!destacar!que!todos!estos!proveedores,!de!origen!
norteamericano! se! han! adherido! al! Puerto! Seguro,!mediante! acuerdo! con! la! cámara! de!
comercio!norteamericana,!indicando!que!existe!una!verificación!de!los!cumplimientos!del!
acuerdo,!tanto!dentro!de!la!empresa,!como!por!terceras!partes.!!
En!dicho!acuerdo,!los!proveedores!especifican!que!se!comprometen!a!cooperar!y!cumplir!
con!la!normativa!europea!en!la!materia,!y!que!España!es!uno!de!los!países!relevantes!de!los!
que!recibe!datos!de!carácter!personal.!
Con!respecto!a! los!contratos,!parece!que!todos!han!adoptado!las!cláusulas!contractuales!
tipo!aprobadas!por!la!Comisión!en!la!Decisión!2010/87/UE,!excepto!Drobox,!que!no!hemos!
encontrado!documentación!referente!a!este!tema.!
Indicar!por!último!que!Microsoft,!hasta!el!9!de!mayo!de!2014,!fecha!de!la!resolución!de!la!
AEPD!reconociéndolo!como!exportador! internacional!de!datos!válido,!Microsoft!ya!había!
hecho! esfuerzos! en! materia! de! cumplimiento! con! la! legislación! española,! ya! que! había!
adaptado!sus!Clausulas!Contractuales!Tipo.!!
6.2.5.3! Tercer+punto.+ISO+27000.++
En! lo! concerniente! a! la! familia! de! estándares! ISO! 27000,! cuyo! fin! es! ayudar! a! las!
organizaciones! a! mantener! los! activos! de! información! seguros,! parece! que! todos! los!
proveedores!analizados!cumplen!con!la!certificación!básica,!es!decir!la!ISO/IEC!27001,!que!
es!una!certificación!de!carácter!general.!
El!punto!de!inflexión!ha!llegado!con!la!publicación!del!estándar!ISO/IEC!27018,!que!como!
dijimos!anteriormente,!consiste!en!un!código!de!buenas!prácticas!y!controles!que!tratarán!
!82!
!
de!asegurar!una!correcta!protección!de!los!datos!de!carácter!personal!que!se!almacenen!en!
servicios!en!la!nube.!!
De!los!grandes!proveedores!Cloud,!únicamente!Microsoft,!Dropbox!Business!e!IBM!Softlayer!
poseen!esta!certificación,!quedándose!atrás!dos!de!los!más!grandes,!como!Google!Cloud!y!
Amazon!Web!Services.!!
El!primero!de!los!proveedores!en!conseguir!la!certificación,!fue!Microsoft!Azure,!certificado!
en!febrero!de!2015;! le!siguió!Dropbox!Business,!certificándose!el!13!de!mayo!de!2015,!y!
finalmente,!en!agosto!de!2015!consiguió!la!certificación!IBM!Softlayer.!
6.2.5.4! Cuarto+punto.+General+
Y!para!terminar,!desde!un!punto!de!vista!más!general,!se!puede!apreciar!en! la!tabla!que!
existe!una!gran!diferencia!en! cuanto!a! volumen!de!normas! y! certificaciones! con! las!que!
cumplen!los!controles!de!Microsoft!Azuer!y!AWS!con!respecto!a!los!demás!proveedores.!
!
6.3! DISCLOVER:+HERRAMIENTA+PARA+ANALIZAR+EL+CUMPLIMIENTO+DE+LA+LOPD+EN+LOS+
PROVEEDORES+CLOUD.+
6.3.1! INTRODUCCIÓN.+
En!función!del!nivel!de!privacidad!de!los!datos!y!el!estudio!que!se!realizó!en!el!punto!anterior!
de! este! trabajo,! dónde! se! examinó! el! contenido! de! la! norma,! se! ha! elaborado! una!
herramienta!que!se!estructura!de!modo!que!permite!evaluar!los!diferentes!proveedores!en!
función!de!la!criticidad!de!los!datos!que!almacenan!en!sus!infraestructuras!y!los!expone!en!
función!del!grado!de!cumplimientos!de!la!legislación!española!mostrando!los!resultados!de!
forma!gráfica!e!intuitiva.!
Figura+13.+Logo+Herramienta+Disclover+
!83!
!
Llamada!Disclover!por!el! juego!de!palabras!Cloud!y!Discovery! (Descubrir!en! la!nube),! las!
siglas! significan!Data! Inspection! Security!Cloud!Overview,!o! ! lo!que!es! lo!mismo,!Vista!o!
resumen!sobre!la!inspección!de!seguridad!de!los!datos!en!la!nube.!
La! herramienta! es! de! fácil! manejo! y! nos! permite! de! una! forma,! tanto! grafica! como!
estadística,!analizar!el!cumplimiento!de!la!LOPD!y!el!Real!Decreto!a!lo!que!seguridad!de!los!
datos!se!refiere,!por!parte!de!los!proveedores!que!nos!den!el!servicio!Cloud.!
Si!se!ha!escogido!su!realización!en!Excel!es!debido!a!lo!extendido!de!su!uso,!que!permite!
que! todas! las! empresas! y! usuarios! tengan! acceso! a! ella,! sin! necesidad! de! licencias! o!
programas!poco! frecuentes,! y! a! la! potencia! de! la!misma!para! la! generación!de! reportes!
estadísticos!y!gráficos!de!una!manera!muy!visual!y!sencilla!de!comprender.!
El!objetivo!es!que!para!su!uso!no!sea!necesario!un!alto!grado!de!maestría!en!el!manejo!de!
herramientas! ofimáticas,! y! los! propios! interesados! puedan! utilizarla! de! forma!
independiente,!es!decir!para!auditarse!de!forma!interna.!
A!continuación!vamos!a!analizar!tanto!la!estructura!de!la!herramienta,!como!su!modo!de!
empleo!y!los!resultados!que!refleja.!
Dichos!resultados!gráficos!son!los!que!acompañan!en!este!trabajo!el!análisis!de!las!distintas!
compañías.!
6.3.2! ESTRUCTURA+Y+PARTES+
La!herramienta!se!compone!de!siete!pestañas.!
Una!pestaña!de!instrucciones,!una!pestaña!de!resumen!gráfico,!una!pestaña!de!resumen!de!
cumplimiento! y! tres! pestañas! en! las! que! evaluar! el! cumplimiento! dependiendo! de! si!
nuestros!datos!son!de!tipo!bajo,!medio!o!alto,!además!de!una!última!pestaña!de!medir!el!
cumplimiento!de!las!disposiciones!generales.!
!
Figura+14.+Pestañas+Excel+Herramienta+
Dado!que!las!pestañas!de!resumen!se!alimentan!de!la!información!introducida!en!las!cuatro!
últimas!pestañas,!vamos!a!describir!primero!la!hoja!de!instrucciones,!luego!las!pestañas!de!
!84!
!
niveles!y!disposiciones!generales!y!por!ultimo!las!pestañas!de!resumen!que!nos!darán!una!
visión!clara!de!la!situación!respecto!al!cumplimiento!de!la!LOPD!en!el!proveedor!y!servicio!
que!analicemos.!
6.3.2.1! INSTRUCCIONES+
Primera!pestaña!que!nos!encontramos!en!la!herramienta,!es!de!tipo!informativa.!
Es!decir,!en!ella!solo!vamos!a!tener!una!descripción!del!resto!de!las!pestañas,!así!como!un!
botón!que!nos!conecta!con!una!página!Web!de!la!herramienta,!en!la!que!encontraremos!un!
video!tutorial,!la!última!versión!de!la!herramienta!en!blanco!e!instrucciones!e!información!
de!interés.!
Dado! su! carácter! introductorio,! no!es!necesario!que!el! usuario! complete!ningún! tipo!de!
información!ni!realice!ningún!tipo!de!acción.!
Se!ha!utilizado!un!código!de!colores!igual!al!color!de!las!pestañas!en!la!herramienta!para!
facilitar!su!localización.!Cada!pestaña!esta!descrita!en!cuatro!acciones!que!nos!hace!un!breve!
resumen!de!su!función,!como!rellenarla!y!quien!debe!hacerlo.!!
La!hoja!está!protegida!de!modificaciones,!solamente!pudiéndose!pulsar!el!botón!Link,!que!
mediante!conexión!a!internet!nos!dará!acceso!a!la!página!Web.!
A!continuación!os!adjuntamos!una!imagen!que!muestra!el!aspecto!de!dicha!página.!
!
!
!85!
!
!Figura+15.+Pestaña+Instrucciones+
6.3.2.2! NIVEL+BÁSICO+
Tal!y!como!se!describe!en! la!pestaña!de! introducción,! la!pestaña!es!una!Checklist!de! los!
diferentes!Artículos!contenidos!en!la!LOPD!sobre!Medidas!de!seguridad!y!Documentos!de!
seguridad!de!tipo!básico.!
!
El!color!identificativo!de!esta!pestaña!es!el!verde.!
La!estructura!de!la!pestaña!es!la!siguiente:!
!Figura+16.+Pestaña+Nivel+Básico+
El! nivel! básico! está! formado!por! un! total! de! ! cincuenta! y! cinco! subcontroles! diferentes,!
distribuidos! en! seis! controles! en! la! parte! de! medidas! de! seguridad! (veintinueve!
subcontroles)! y! 10! controles! para! la! parte! del! documento! de! seguridad! (veintiséis!
subcontroles).!Para!su!elaboración!se!han!analizado!los!artículos!a!los!que!hace!referencia!
!86!
!
la!LOPD!y!el!RD1720/2007!referentes!a!la!protección!de!los!datos!de!tipo!básico,!extrayendo!
todos!los!requisitos!necesarios!para!confirmar!el!cumplimiento.!
!
Para!completar!la!hoja,!es!necesario!poner,!tal!y!como!dice!el!cuadro!amarillo,!!poner&una&
"u"&en&la&casilla&correspondiente!de!la!parte!de!campos!a!rellenar!por!el!usuario.!
Es!la!parte!a!rellenar!por!el!usuario!la!única!que!está!libre!de!modificación!por!parte!del!que!
maneja!la!herramienta,!siendo!lo!demás!inalterable.!
!
Acompaña,!tanto!a!la!parte!de!medidas!como!de!documentos,!un!gráfico!dinámico!que!se!
actualiza!con!las!respuestas.!
!
Esta! pestaña! alimenta! los! gráficos! de! la! pestaña! resumen! gráfico! y! la! pestaña! Resumen!
Cumplimiento.!Es!necesario!que!se!completen!todos!los!subcontroles!sin!duplicidades!para!
poder! hacer! una! correcta! valoración! del! cumplimiento! normativo! de! los! datos! de! tipo!
básico.!
6.3.2.3! NIVEL+MEDIO+
Tal!y!como!se!describe!en! la!pestaña!de! introducción,! la!pestaña!es!una!Checklist!de! los!
diferentes!Artículos!contenidos!en!la!LOPD!sobre!Medidas!de!seguridad!y!Documentos!de!
seguridad!de!tipo!medio.!
!
El!color!identificativo!de!esta!pestaña!es!el!amarillo.!
La!estructura!de!la!pestaña!es!la!siguiente:!
!87!
!
!Figura+17.+Pestaña+Nivel+Medio+
El!nivel!medio!está!formado!por!un!total!de!!veintiocho!subcontroles!diferentes,!distribuidos!
en!medidas!de!seguridad!!casi!en!su!totalidad,!!con!siete!controles!y!veintisiete!subcontroles)!
y!un!único!control!para!la!parte!del!documento!de!seguridad!(un!único!subcontrol).!Para!su!
elaboración! se! han! analizado! los! artículos! a! los! que! hace! referencia! la! LOPD! y! el!
RD1720/2007!referentes!a!la!protección!de!los!datos!de!tipo!medio,!extrayendo!todos!los!
requisitos!necesarios!para!confirmar!el!cumplimiento.!
!
Si!tus!datos!son!clasificados!como!de!nivel!medio,!es!necesario!que!previamente!rellenes!los!
de!tipo!básico,!ya!que!no!son!controles!excluyentes,!sino!que!a! los!que!ya!tenías!de!tipo!
básico,!hay!que!añadir!ahora!los!de!tipo!medio.!
!
Para!completar!la!hoja,!es!necesario!poner,!tal!y!como!dice!el!cuadro!amarillo,!!poner&una&
"u"&en&la&casilla&correspondiente!de!la!parte!de!campos!a!rellenar!por!el!usuario.!
Es!la!parte!a!rellenar!por!el!usuario!la!única!que!está!libre!de!modificación!por!parte!del!que!
maneja!la!herramienta,!siendo!lo!demás!inalterable.!
!
Acompaña,!tanto!a!la!parte!de!medidas!como!de!documentos!un!gráfico!dinámico!que!se!
actualiza!con!las!respuestas.!
!
!88!
!
Esta! pestaña! alimenta! los! gráficos! de! la! pestaña! resumen! gráfico! y! la! pestaña! Resumen!
Cumplimiento.!Es!necesario!que!se!completen!todos!los!subcontroles!sin!duplicidades!para!
poder! hacer! una! correcta! valoración! del! cumplimiento! normativo! de! los! datos! de! tipo!
medio.!
6.3.2.4! NIVEL+ALTO+
Tal!y!como!se!describe!en! la!pestaña!de! introducción,! la!pestaña!es!una!Checklist!de! los!
diferentes!Artículos!contenidos!en!la!LOPD!sobre!Medidas!de!seguridad!de!tipo!alto.!En!este!
caso!no!se!hace!referencia!al!documento!de!seguridad,!ya!cubierto!con!los!datos!de!tipo!
básico!y!medio.!
!
El!color!identificativo!de!esta!pestaña!es!el!rojo.!
La!estructura!de!la!pestaña!es!la!siguiente:!
!Figura+18.+Pestaña+Nivel+Alto+
!
El!nivel!alto!está!formado!por!un!total!de!!cuatro!controles!y!doce!subcontroles!diferentes,!
en!relación!con!las!medidas!de!seguridad.!Para!su!elaboración!se!han!analizado!los!artículos!
a!los!que!hace!referencia!la!LOPD!y!el!RD1720/2007!referentes!a!la!protección!de!los!datos!
de!tipo!alto,!extrayendo!todos!los!requisitos!necesarios!para!confirmar!el!cumplimiento.!
!
!89!
!
Si!tus!datos!son!clasificados!como!de!nivel!alto,!es!necesario!que!previamente!rellenes!los!
de!tipo!básico!y!medio,!ya!que!no!son!controles!excluyentes,!sino!que!a!los!que!ya!tenías!de!
tipo!básico!y!medio,!hay!que!añadir!ahora!los!de!tipo!alto.!
!
Para!completar!la!hoja,!es!necesario!poner,!tal!y!como!dice!el!cuadro!amarillo,!!poner&una&
"u"&en&la&casilla&correspondiente&de!la!parte!de!campos!a!rellenar!por!el!usuario.!
Es!la!parte!a!rellenar!por!el!usuario!la!única!que!está!libre!de!modificación!por!parte!del!que!
maneja!la!herramienta,!siendo!lo!demás!inalterable.!
Acompaña!un!gráfico!dinámico!que!se!actualiza!con!las!respuestas.!
Esta! pestaña! alimenta! los! gráficos! de! la! pestaña! resumen! gráfico! y! la! pestaña! Resumen!
Cumplimiento.!Es!necesario!que!se!completen!todos!los!subcontroles!sin!duplicidades!para!
poder!hacer!una!correcta!valoración!del!cumplimiento!normativo!de!los!datos!de!tipo!alto.!
!
6.3.2.5! DISPOSICIONES+GENERALES+LOPD+&+RD+
Independientemente!del!nivel!de!privacidad!de!los!datos!a!tratar!y!acorde!a!la!LOPD!hay!una!
serie!de!disposiciones!generales!a!tener!en!cuenta.!Tal!y!como!se!describe!en!la!pestaña!de!
introducción,!la!pestaña!es!una!Checklist!de!los!diferentes!Artículos!contenidos!en!la!LOPD!
sobre!Disposiciones!generales!de!necesario!cumplimiento,!sea!cual!sea!el!nivel!de!los!datos.!
!
El!color!identificativo!de!esta!pestaña!es!el!morado.!
La!estructura!de!la!pestaña!es!la!siguiente:!
!
!90!
!
!Figura+19.+Pestaña+Disposiciones+Generales+LOPD+&+RD+
La! pestaña! disposiciones! generales! está! formada! por! un! total! de! ! nueve! controles! que!
agrupan!diferentes!artículos!de!la!LOPD!y!el!Real!decreto.!Estos!nueve!controles!son:!
•! Derechos!Arco!•! Confidencialidad!•! Acceso!a!datos!•! Comunicación!de!datos!•! Movimiento!internacional!de!datos!•! Auditoria!•! Subcontratación!•! Encargado!del!tratamiento!•! Medias!de!seguridad!Backup!
Estos!nueve!controles!están!compuestos!de!veintisiete!subcontroles.!
Para!completar!la!hoja,!es!necesario!poner,!tal!y!como!dice!el!cuadro!amarillo,!!poner&una&
"u"&en&la&casilla&correspondiente&de!la!parte!de!campos!a!rellenar!por!el!usuario.!
Es!la!parte!a!rellenar!por!el!usuario!la!única!que!está!libre!de!modificación!por!parte!del!que!
maneja!la!herramienta,!siendo!lo!demás!inalterable.!
Acompaña!un!gráfico!dinámico!que!se!actualiza!con!las!respuestas.!
Esta! pestaña! alimenta! los! gráficos! de! la! pestaña! resumen! gráfico! y! la! pestaña! Resumen!
Cumplimiento.! Se! han! de! completar! todos! los! subcontroles! sin! duplicidades! para! poder!
hacer!una!correcta!valoración!del!cumplimiento!normativo!de!las!disposiciones!generales.!
!91!
!
6.3.2.6! RESUMEN+CUMPLIMIENTO+
La! pestaña!Resumen!Cumplimiento! nos! da! una! visión! agrupada!numérica,! tanto! de! tipo!
absoluto! como! relativo,! ! de! la! información! introducida! en! las! pestañas! de! nivel! y!
disposiciones!generales.!
!
Tal!y!como!se!puede!ver!en! la! imagen,!analizándolo!de!manera!vertical,!y!yendo!de!más!
general!a!más!detallado,! la!pestaña!diferencia!entre! los!diferentes!niveles,! también!ente!
medidas! de! seguridad! y! documento! de! seguridad,! para! finalmente! también! tener! la!
información!por!control.!
!
Analizándolo!de!manera!horizontal,!tenemos!la!descripción!de!la!línea.!!
A!continuación!los!resultados!viéndolos!de!forma!absoluta,!tanto!del!número!de!controles,!
como!del!sumatorio!de!las!respuestas!del!usuario!(Si,!No,!N/A,!Sin!Información).!
El!siguiente!apartado!contiene!la!misma!información,!pero!de!manera!relativa!sobre!el!total.!
!
Finalmente,!tenemos!el!apartado!del!mínimo!exigido,!esto!lo!completa!el!usuario.!Facilita!
luego!al!ver!la!pestaña!de!resumen!grafico!a!cuanto!estamos!de!nuestro!objetivo.!
!
La!estructura!de!la!pestaña!es!la!siguiente:!
!Figura+20.+Pestaña+Resumen+cumplimiento+
!92!
!
!
Como!es! lógico,!esta!pestaña!se!alimenta!de! las!otras!hojas,!y!por! tanto!no!es!necesario!
completar!ningún!campo,!a!excepción!de!la!columna!mínimo!exigido.!
Como!ya!se!ha!comentado!es!necesario!completar!las!otras!pestañas!en!su!totalidad!para!
obtener!datos!estadísticos!fiables.!
6.3.2.7! RESUMEN+GRÁFICO+
Finalmente,! para! concluir! con! el! apartado!de! estructura! y! partes,! analizamos! la! pestaña!
resumen!gráfico,!siendo!esta!una!pestaña!en!la!que!no!es!necesario!introducir!datos!y!que!
nos!data!un!resumen!visual!del!resultado!de!nuestro!análisis.!
!
Tal! y! como! se! puede! ver! en! la! imagen,! analizándolo! de!manera! horizontal,! destacamos!
cuatro!gráficos!que!nos!ayudaran!a!entender!el!estado!del!cumplimiento!en!Cloud.!
!
Un!primer!grafico!es!un!termómetro!que!indica!de!forma!visual!el!porcentaje!de!si!se!cumple!
el!control!respecto!del!total,!tanto!en!este!como!en!el!resto!de!los!gráficos!el!objetivo!es!la!
obtención!del!100%!de!SI.!
El!segundo!gráfico!es!un!diagrama!circular!con!el!porcentaje!de!Sí,!no,!No!Analizado!y!Sin!
información.!!
El!tercer!y!cuarto!diagrama!es!denominado!Radar!Chart.!De!una!forma!simple,!nos!permiten!
ver!el!grado!de!cumplimiento!de!los!diferentes!controles!respecto!a!medidas!de!seguridad,!
documento! de! seguridad! o! disposiciones! generales,! respecto! al! 100%.! Esta! línea! está!
representada!en!color!verde.!
!
El!grado!de!cumplimiento!decidido!por!el!usuario!está!definido!por!una!línea!color!amarillo,!
para!nuestro!proyecto!dejamos!este!nivel!al!100%!por!defecto.!
!
!93!
!
!Figura+21.+Pestaña+Resumen+Grafico+
La! pestaña,! analizándola! en! vertical,! está! dividida! en! cuatro! franjas,! que! se! identifican!
además!con!el!color!de!la!pestaña:!
•! Nivel!Básico!en!verde!•! Nivel!Medio!en!amarillo!•! Nivel!Alto!en!tojo!•! Disposiciones!generales!en!morado.!
Al!igual!que!el!resumen!de!cumplimiento,!es!necesario!completar!las!otras!pestañas!en!su!
totalidad!para!obtener!datos!estadísticos!fiables.!
Se!incluyen!más!imágenes!de!la!Herramienta!en!el!anexo!I!de!este!trabajo.!
! 94!
CAPÍTULO+IV:+CONCLUSIONES+
7.! ANÁLISIS+RESUMEN+DEL+TRABAJO+REALIZADO+
A!lo!largo!del!presente!trabajo!se!ha!realizado!un!estudio!de!cumplimento!de!normativa!en!
protección! de! datos! de! carácter! personal! para! saber! el! grado! de! cumplimiento! de! los!
proveedores!Cloud!más!relevantes.!
Para!ello,!el!proyecto!comienza!dando!una!visión!general!de!los!modelos!y!servicios!Cloud!
existentes!actualmente!en!el!mercado!y!un!resumen!del!último!análisis! realizado!por! los!
principales!analistas!de!esta!tecnología.!A!continuación,!se!muestra!un!estudio!de!normativa!
a!nivel!europeo!y!español,!referenciando!los!movimientos!sociales,!conceptos,!derechos!y!
leyes!que!consolidaron!estas!normativas.!Como!parte!de!este!estudio!se!han!establecido!
una!serie!de!puntos!control!extraídos!de!la!LOPD!y!RLOPD!(real!decreto!dónde!se!desarrolla!
más! extensamente! la! ley! orgánica! de! protección! de! datos),! organizando! la! información!
proporcionada! en! tres! bloques:! cumplimiento! en! cuanto! medidas! de! seguridad,!
cumplimiento!referente!al!contenido!del!documento!de!seguridad!y!cumplimiento!a!nivel!
general!(lo!que!en!el!trabajo!citamos!como!disposiciones!generales),!categorizando!en!todos!
los!casos!la!obligatoriedad!de!cumplimiento!en!función!de!los!tres!niveles!que!establece!la!
norma!teniendo!en!cuenta!el!grado!de!privacidad!de!los!datos,!nivel!básico,!medio!o!alto.!!
Posteriormente!en!el!apartado!6,!se!han!establecido!las!medidas!contractuales!necesarias!
para!garantizar!transferencias!internacionales!de!datos!seguras,!ya!que!dada!la!versatilidad!
que!ofrecen!los!entornos!Cloud!conocer!dónde!se!ubican!los!datos,!qué!normativa!y!qué!
medidas! de! seguridad! se! toman! en! los! países! en! los! que! residen! los! datos! es! de! vital!
importancia.!A!su!vez,!ya!que!es!difícil!conocer!por!parte!del!cliente!que!contrata!un!servicio!
en!la!nube!el!100%!de!los!procesos!utilizados!por!el!proveedor!y!su!grado!de!cumplimiento!
de!la!LOPD,!para!demostrar!y!asegurar!por!parte!del!cliente!diligencia!en!la!contratación!de!
los!servicios,!en!este!punto!se!ha!realizado!un!estudio!de!los!estándares!y!certificaciones!
que!actualmente!se!desarrollan!para!determinar!puntos!de!control!que!mitiguen!los!riesgos!
inherentes!en!la!migración!de!una!compañía!de!la!totalidad!o!parte!de!su!infraestructura!a!
la!nube.!
Y! por! último,! con! el! fin! de! facilitar! a! las! empresas! medir! el! nivel! de! cumplimiento! en!
protección! de! datos,! tanto! de! su! propia! infraestructura! como! la! del! proveedor,! se! ha!
!95!
!
elaborado!una!herramienta!en!el!que!quedan!plasmados!los!puntos!de!control!establecidos!
en!el!apartado!!5.2.3,!donde!se!realiza!el!estudio!de!la!normativa,!tal!que!promueva!y!facilite!!
a!las!organizaciones!realizar!auditorias!internas!del!servicio!ofertado!o!contratado.!
7.1! CONCLUSIONES+DEL+PROYECTO+
El!ritmo!actual!del!desarrollo!de!los!sistemas!de!la!información!plantean!nuevos!retos!a!nivel!
legislativo!para!tratar!de!cubrir!todos!aquellos!aspectos!que!atenten!contra!la!privacidad!y!
derechos!fundamentales!de!las!personas.!
En! muchas! ocasiones! tratar! de! transponer! leyes! a! medidas! de! seguridad! técnicas! que!
garanticen! su! cumplimiento!no! es! sencillo.! Teniendo!en! cuenta! el! cambio!de!paradigma!
tecnológico!que!han!marcado!los!entornos!Cloud,!su!rápido!desarrollo!y!aceptación!por!la!
industria!de! la!computación,!ha!surgido! la!necesidad!de!revisar!y!unificar! los!criterios!de!
cumplimiento!legislativo!que!existían!adaptados!a!otro!tipo!de!tecnología.!Por!este!motivo,!
la!tendencia!actual!trata!de!unificar!diferentes!marcos!legislativos!para!asegurar!de!forma!
global!unos!niveles!mínimos!de!protección!de!datos!y!muchos!de!los!estudios!realizados!y!
datos!proporcionados!por! los!principales!analistas!Cloud!a! lo! largo!de!2014!a!día!de!hoy!
están!desfasados.!!
Dependiendo! del! sector! o! del! tipo! de! servicio! que! presta! la! compañía! que! contrata! un!
servicio! en! la! nube! hay! establecidas! una! serie! de! certificaciones,! estándares! y! guías! de!
buenas! prácticas! que! pretenden! ayudar! a! las! organizaciones! a!mantener! sus! activos! de!
información! seguros.!Ya!que!estas! certificaciones!no! se!centran! solo!en! la!protección!de!
datos!de!carácter!personal,!si!no!en!la!seguridad!global!de!los!datos,!en!función!del!trabajo!
realizado! se! ha! observado! que! existen! aspectos! fundamentales! de! la! LOPD,! como! los!
tiempos!fijados!en!la!realización!de!determinados!procesos!o!la!información!necesaria!para!
registrar!ciertas!acciones!que!se!realizan!sobre! la! información,!que!no!se!contemplan!de!
forma!explícita!en!las!certificaciones!estudiados!en!este!trabajo,!como!el!CCM,!la!ISO/IEC!
27001,!la!27018,!por!lo!que!entendemos!que!la!aplicación!exclusiva!de!los!controles!de!las!
diferentes!certificaciones!aportarían!un!valor!añadido!a! los!diferentes!proveedores!Cloud!
desde! el! punto! de! vista! de! la! seguridad! y! de! cumplimiento,! pero! no! garantizarían! el!
cumplimiento!de!la!legislación!española.!!
!96!
!
Por+este+motivo,+la+exigencia+de+las+certificaciones+adecuadas+deben+ir+acompañadas+de+
las+SLAs+que+garanticen+el+cumplimiento+de+la+LOPD.+
Es! lo!que!en!el! trabajo!hemos! llamado! “demostrar!o! asegurar”,! es!decir,! demostrar! con!
certificaciones!o!asegurar!con!contratos.!
Para!finalizar,!queremos!destacar!que!teniendo!en!cuenta!lo!dicho!anteriormente,!Microsoft!
se!ha!situado!como! líder! indiscutible!del! sector.!En!cuanto!a!cumplimiento! legislativo!de!
protección!de!datos,!como!ya!se!ha!comentando!la!AEPD!afirma!que!los!contratos!emitidos!
ofrecen! garantías! adecuadas! para! que! los! clientes! confíen! sus! datos! personales! a! la!
compañía!en!el!marco!de!los!servicios!corporativos!de!Office!365,!Dynamics!CRM!Online!y!
Microsoft!Azure,!lo!que!nos!hace!pensar!que!en!un!mundo!vanguardista!como!en!el!que!nos!
desenvolvemos!el!resto!de!proveedores!seguirán!la!misma!línea!de!desarrollo!de!Microsoft!
en!este!aspecto!y!tratarán!de!obtener!la!misma!certificación!por!parte!de!la!AEPD.!
Y!en!cuanto!a!certificaciones,!ha!sido!la!primera!en!certificarse!en!la!ISO/IEC!27018,!la!única!
que! se! encarga! de! la! seguridad! de! los! datos! personales! por! parte! del! encargado! de! los!
mismos,!certificándose!en!febrero!de!2015.!
7.2! FUTURAS+LÍNEAS+DE+DESARROLLO+
El! 25! de! enero! de! 2012,! la! Comisión! Europea! publicó! el! borrador! de! la! Propuesta! de!
Reglamento!General!de!Protección!de!Datos!de! la!Unión!Europea44,! que!pretende! ser!el!
reglamento!que!sustituya!a!la!ya!antigua!Directiva!95/46/CE,!del!año!1995.!!
El!objetivo!del!nuevo!reglamento!es!adaptar!la!legislación!europea!los!nuevos!retos,!como!
la!computación!en!la!nube,!el!“Internet!de!las!cosas”,!“Bring!your!own!device”,!etc.,!a!la!vez!
que!pretende!homogeneizar!las!distintas!legislaciones!nacionales!de!los!estados!miembros,!
y! dotar! a! la! Unión! Europea! de! una! regulación! uniforme! que! evite! la! fragmentación! y!
diferencias!que!generó!la!adaptación!a!la!Directiva!95/46/CE.!!
Este! nuevo! reglamento! nos! obligará! a! adaptar! la! herramienta! desarrollada! a! la! nueva!
legislación,!que!invalidará!la!actual!LOPD!en!materia!de!protección!de!datos!y!para!lo!que!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44!Reglamento!del!Parlamento!Europeo!y!del!Consejo!relativo!a!la!protección!de!las!personas!físicas!en!lo!que! respecta! al! tratamiento! de! datos! personales! y! a! la! libre! circulación! de! estos! datos.! http://eurZlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF!!
!97!
!
será!necesario!establecer!una!nueva!serie!de!puntos!de!control,!entre!la!normativa!actual!y!
la!nueva!pendiente!de!aprobar,!y!que!necesitarán!ser!mapeados!a!los!diferentes!estándares!
y!certificaciones!actuales!estudiadas!en!este!trabajo.!
Mientras!tanto,! la! industria!no!descansa,!y!van!a!pareciendo!nuevas!herramientas!(como!
Cloudfogger45)! que! de! forma! empresarial! o! personal! tratarán! mejorar! un! tema! tan!
importante!como!es!la!privacidad!en!la!nube
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45!Cloudfogger.!Protect!the!privacy!in!the!Cloud.!URL://!https://www.cloudfogger.com!!
! 98!
!
BIBLIOGRAFÍA+
•! Mell,!P.,!&!Grance,!T.!(2011).!The!NIST!Definition!of!Cloud!Computing!Recommendations!of!the!National!Institute!of!Standards!and!Technology.!Nist!Special!Publication,!145,!7.!doi:10.1136/emj.2010.096966!
•! ONU.!Declaración!Universal!de!Derechos!Humanos.!Adoptada!y!proclamada!por!la!Asamblea!General.!Resolución!217!A!(III),!del!10!de!diciembre!de!1948.!URL:!http://www.un.org/es/documents/udhr!
•! NUDH.!Pacto!Internacional!de!Derechos!Civiles!y!Políticos.!Resolución!2200!A!(XXI)!de!16!de!diciembre!de!1966.!Asamblea!General!ONU.!URL:!http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx!
•! Parlamento!Alemán.!Federal!Data!Protection!Act.!(Bundesdatenschutzgesetz,!BDSG)!1977.!URL:!http://www.iuscomp.org/gla/statutes/BDSG.htm!
•! Congreso!Estados!Unidos.!Privacy!Act!Of!1974.!1974.!URL:!http://www.justice.gov/opcl/privacyZactZ1974!
•! OCDE.!Directrices!de!la!OCDE!sobre!protección!de!la!privacidad!y!los!flujos!transfronterizos!de!datos!personales.!1980.!URL:!http://www.oecd.org/sti/ieconomy/15590267.pdf!
•! European!Convention!Human!Rights,!ECHR.!Carta!Fundacional!de!Derechos!Humanos!en!la!Unión!Europea.!URL:!http://humanZrightsZconvention.org!
•! Council!of!Europe!of!Human!Rights.!Convenio!Europeo!de!Derechos!Humanos.!1998!Artículo!8.!p.11!
•! BOE.!Versión!Consolidada!del!Tratado!de!Funcionamiento!de!la!Unión!Europea.!Artículo!16.!URL:!http://www.boe.es/doue/2010/083/Z00047Z00199.pdf!
•! Diario!Oficial!de!las!Comunidades!Europeas.!Carta!de!los!Derechos!Fundamentales!de!la!Unión!Europea.!2000.!URL:!http://www.europarl.europa.eu/charter/pdf/text_es.pdf!
•! Consejo!de!Europa.!Convenio!Nº!108!del!Consejo!de!Europa,!de!28!de!Enero!de!1981,!para!la!protección!de!las!personas!con!respecto!al!tratamiento!automatizado!de!datos!de!carácter!personal.!1981!URL:!https://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_consejo_europa/common/PDFs/B.28ZcpZZCONVENIOZNZ1oZZ108ZDELZCONSEJOZDEZEUROPA.pdf!
•! Europa.eu.!Protección!de!datos!personales.!2015.!URL:!http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm!
•! Parlamento!Europeo.!!Directiva!95/46/CE,!de!24!de!octubre!de!1995,!relativa!a!la!protección!de!las!personas!físicas!en!lo!que!respecta!al!tratamiento!de!datos!personales!y!a!la!libre!circulación!de!estos!datos.!1995.!URL:!http://eurZlex.europa.eu/legalZcontent/ES/ALL/?uri=CELEX:31995L0046!!
!99!
!
!•! Commission!of!the!European!Communities.!The!implementation!of!Commission!
Decision!520/2000/EC!on!the!adequate!protection!of!personal!data!provided!by!the!Safe!Harbour!privacy!Principles!and!related!Frequently!Asked!Question!issued!by!the!US!Department!of!Commerce.!2004.!URL:!http://ec.europa.eu/justice/policies/privacy/docs/adequacy/secZ2004Z1323_en.pdf!
•! Commission!of!the!European!Communities.!Communication!from!the!Commission!to!the!European!Parliament!and!The!Council!on!the!Functioning!of!the!Safe!Harbour!from!the!Perspective!of!EU!Citizens!and!Companies!Stablished!in!the!EU.!2013.!URL:!http://ec.europa.eu/justice/dataZprotection/files/com_2013_847_en.pdf!
•! Guash!Portas,!Vicente.!Soler!Fuensanta,!José!Ramón.!Cloud!Computing,!Cláusulas!contractuales!y!reglas!corporativas!vinculates.!Refista!de!Derecho!UNED.!Num.!14.!2014!pag.!258!URL:!http://revistas.uned.es/index.php/RDUNED/article/viewFile/13300/12171!
•! Agencia!Española!de!Protección!de!Datos.!Resolución!de!declaración!de!adecuación!de!garantías!para!las!transferencias!internacionales!de!datos!a!los!Estados!Unidos!con!motivo!de!la!prestación!de!servicios!de!computación!en!nube.!2014.!URL:!http://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/auto_transf_2014/common/pdfs/TIZ00032Z2014_ResolucionZdeZfechaZ09Z05Z2014_deZMICROSOFTZCORPORATION_aZEstadosZUnidos.pdf!!!
•! (Comisión!Europea.!Reglamento!del!Parlamento!Europeo!y!del!Consejo!relativo!a!la!protección!de!las!personas!físicas!en!lo!que!respecta!al!tratamiento!de!datos!personales!y!a!la!libre!circulación!de!estos!datos,!2012)!!
•! Galindo! Merino,! F.,! Martin! Vidal,! G.,! Puerta! Hoyas,! B.,! &! Francesco! Schiavo,! U.!
(2013).! Planes! de!Auditoria! y! Buenas! prácticas! para! entornos! cloud! computing! y!
bring!your!own!device.!Planes!de!Auditoria!y!Buenas!prácticas!para!entornos!cloud!
computing!y!bring!your!own!device.!Madrid.!
•! Microsoft.!(6!de!Junio!de!2014).!Microsoft.!Recuperado!el!Agosto!de!2015,!de!Microsoft:!https://news.microsoft.com/esZes/2014/06/06/aepdZserviciosZcloudZmicrosoft/!
•! Standardization,!I.!O.!(2015).!Adopta!el!cloud!en!toda!confianza.!ISO&Focus!(108).!
•! Yalamova,!M.ZM.!(2015).!Adopta!el!cloud!en!toda!confianza.!ISO&Focus!(108),!49.!
•! !Gartner.!(2014).!Magic&Quadrant&for&Cloud&Infrastructure&as&a&Service.!!
!100!
!
•! Gartner.! (2014).! Magic& Quadrant& for& Enterprise& application& plataforme& e& as& a&
Service.!!
•! CSA.!Guía&CSA¶&la&seguridad&en&áreas&críticas&de&atención&en&Cloud&Computing&V2!
•! Galindo! Merino,! F.,! Martin! Vidal,! G.,! Puerta! Hoyas,! B.,! &! Francesco! Schiavo,! U.!
(2013).! Planes! de!Auditoria! y! Buenas! prácticas! para! entornos! cloud! computing! y!
bring!your!own!device.!Planes&de&Auditoria&y&Buenas&prácticas¶&entornos&cloud&
computing&y&bring&your&own&device!.!Madrid.!
•! interxon.! (s.f.).! Recuperado! el! Abril! de! 2015,! de! interxon:!
http://www.interxion.com/es/sectores/corporaciones/elZaugeZdeZlaZtiZhibrida/!
! 101!
GLOSARIO+DE+TÉRMINOS++
Se!extrae!esta!información!del!art.3!LOPD!y!art.5!RD!para!ayudar!en!el!entendimiento!de!
dichas!normativas:!
1.! Datos+de+carácter+personal:!“cualquier!información!concerniente!a!personas!físicas!
identificadas!o!identificables”.++
2.! Fichero:+“todo+conjunto+organizado!de!datos!de!carácter!personal,!que!permita!el!
acceso! a! los! datos! con! arreglo! a! criterios! determinados! cualquiera! que! fuere! la!
forma!o!modalidad!de!su!creación,!almacenamiento,!organización!y!acceso”.!RD!
3.! Tratamiento+ de+ datos:! cualquier! operación! o! procedimientos! técnico,! sea! o! no!
automatizado,! que! permitan! la! recogida,! grabación,! conservación,! elaboración,!
modificación,!consulta,!utilización,!cancelación,!bloqueo!o!supresión,!así!como!las!
cesiones! de! datos! que! resulten! de! comunicaciones,! consultas,! interconexiones! y!
transferencias.”!
4.! Responsable+ del+ fichero+ o+ tratamiento:+ persona! física! o! jurídica,! de! naturaleza!
pública! o! privada,! u! órgano! administrativo,! que! sólo! o! conjuntamente! con! otros!
decida!sobre!la!finalidad,!contenido!y!uso!del!tratamiento,!aunque!no!lo!realizarse!
materialmente.!!
Podrán! ser! también! responsables! del! fichero! o! del! tratamiento! los! entes! sin!
personalidad!jurídica!que!actúen!en!el!tráfico!como!sujetos!diferenciados.!RD!
5.! Afectado+ o+ interesado:! persona! física! titular! de! los! datos! que! sean! objeto! del!
tratamiento.!
6.! Procedimiento+de+disociación:!todo!tratamiento!de!datos!personales!que!permita!
la!obtención!de!datos!disociados.!
7.! Dato+disociado:!aquél!que!no!permite!la!identificación!de!un!afectado!interesado.!
8.! Encargado+del+tratamiento:!la!persona!física!o!jurídica,!pública!o!privada!u!órgano!
administrativo! que,! sólo! o! conjuntamente! con! otros,! trate! datos! personales! por!
cuenta! del! responsable! del! tratamiento! o! del! responsable! del! fichero,! como!
consecuencia!de!la!existencia!de!una!relación!jurídica!que!le!vincula!con!el!mismo!y!
delimita!el!ámbito!de!su!actuación!para!la!prestación!de!un!servicio.!
Podrán!ser!también!encargados!del!tratamiento!los!entes!sin!personalidad!jurídica!
que!actúen!en!el!tráfico!como!sujetos!diferenciados.!!
!102!
!
9.! Consentimiento+del+interesado:!toda!manifestación!de!voluntad,!libre,!inequívoca,!
específica!e!informada,!mediante!la!que!el!interesado!consienta!el!tratamiento!de!
datos!personales!que!le!conciernen.!!
10.!Cesión+o+comunicación+de+datos:!tratamiento!de!datos!que!supone!su!revelación!a!
una!persona!distinta!del!interesado.!!
11.!Destinatario+o+cesionario:+ la!persona! física!o! jurídica,!pública!o!privada!u!órgano!
administrativo,!al!que!se!revelen!los!datos!!
12.!Exportador+de+datos+personales:+ la!persona! física!o! jurídica,!pública!o!privada,!u!
órgano!administrativo!situado!en!territorio!español!que!realice!una!transferencia!de!
datos!de!carácter!personal!a!un!país!tercero.!!
13.!Ficheros+ de+ titularidad+ privada:+ los! ficheros! de! los! que! sean! responsables! las!
personas,!empresas!o!entidades!de!derecho!privado,!con!independencia!de!quien!
ostente!la!titularidad!de!su!capital!o!de!la!procedencia!de!sus!recursos!económicos,!
así! como! los! ficheros!de! los!que!sean!responsables! las!corporaciones!de!derecho!
público,! en! cuanto! dichos! ficheros! no! se! encuentren! estrictamente! vinculados! al!
ejercicio!de!potestades!de!derecho!público!que!a!las!mismas!atribuye!su!normativa!
específica.!!
14.!Fichero+no+automatizado:+todo!conjunto!de!datos!de!carácter!personal!organizado!
de!forma!no!automatizada!y!estructurado!conforme!a!criterios!específicos!relativos!
a! personas! físicas,! que! permitan! acceder! sin! esfuerzos! desproporcionados! a! sus!
datos!personales,!ya!sea!aquél!centralizado,!descentralizado!o!repartido!de!forma!
funcional!o!geográfica.!+
15.!Importador+de+datos+personales:+ la!persona!física!o! jurídica,!pública!o!privada,!u!
órgano!administrativo!receptor!de!los!datos!en!caso!de!transferencia!internacional!
de!los!mismos!a!un!tercer!país,!ya!sea!responsable!del!tratamiento,!encargada!del!
tratamiento!o!tercero.!!
16.!Persona+identificable:+toda!persona!cuya!identidad!pueda!determinarse,!directa!o!
indirectamente,! mediante! cualquier! información! referida! a! su! identidad! física,!
fisiológica,! psíquica,! económica,! cultural! o! social.! Una! persona! física! no! se!
considerará! identificable! si! dicha! identificación! requiere! plazos! o! actividades!
desproporcionados.!!
17.!Tercero:+ la! persona! física! o! jurídica,! pública! o! privada! u! órgano! administrativo!
distinta!del!afectado!o!interesado,!del!responsable!del!tratamiento,!del!responsable!
!103!
!
del!fichero,!del!encargado!del!tratamiento!y!de!las!personas!autorizadas!para!tratar!
los!datos!bajo!la!autoridad!directa!del!responsable!del!tratamiento!o!del!encargado!
del!tratamiento.++
18.!Transferencia+ internacional+ de+ datos:+ Transferencia! internacional! de! datos:!
Tratamiento!de!datos!que!supone!una!transmisión!de!los!mismos!fuera!del!territorio!
del! Espacio! Económico! Europeo,! bien+ constituya! una! cesión! o! comunicación! de!
datos,!bien!tenga!por!objeto!la!realización!de!un!tratamiento!de!datos!por!cuenta!
del!responsable!del!fichero!establecido!en!territorio!español.+
!
!
! 104!
+
ANEXO+I.+VISUALIZACIÓN+DE+LAS+PESTAÑAS+
A! lo! largo! de! este! punto! vamos! a! ver! las! pestañas! en! su! totalidad! de! la! herramienta!
elaborada,!es!decir,!toda!la!información!contenida!en!la!herramienta,!detallada!y!explicada!
anteriormente!en!el!punto!6.3!de!este!trabajo.!
8.! INSTRUCCIONES+
Aunque!parte!de!la!información!ya!se!visualizó!con!anterioridad,!se!incluye!para!no!modificar!
la!estructura!seguida.!Posteriormente,!se!visualizará!cada!una!de!las!pestañas!elaboradas.!
No!entramos!a!comentar!su!contenido!porque!ya!se!hizo!con!anterioridad!en!el!manual!de!
la!misma!pero!nos!parece!importante!añadirlas!como!anexo!para!que!pueda!verse!el!trabajo!
elaborado!en!su!totalidad.!
!
!
!!
Figura+20.+Herramienta+Disclover+pestaña+de+Instrucciones+
!
!105!
!
8.1! NIVEL+BÁSICO+
!
!
!
Figura+21.+Herramienta+Disclover+nivel+básico+I+
!106!
!
+
!
!
!
!
!Figura+22.+Herramienta+Disclover+nivel+básico+II+
!
!107!
!
!!
Figura+23.+Herramienta+Disclover+nivel+básico+III+
!8.2! NIVEL+MEDIO+
!
!
!!
Figura+24.+Herramienta+Disclover+nivel+medio+I+
!
!108!
!
!!
Figura+25.+Herramienta+Disclover+nivel+medio+II+
!!!8.3! NIVEL+ALTO+
!
!
!!
Figura+26.+Herramienta+Disclover+nivel+alto+I++
!
!109!
!
8.4! RESUMEN+CUMPLIMIENTO+
!
!
!+Figura+27.+Herramienta+Disclover+Resumen+de+cumplimiento+
!!8.5! RESUMEN+GRÁFICO+
!Figura+28.+Herramienta+Disclover+resumen+de+cumplimiento+I+
!
!110!
!
!Figura+29.+Herramienta+Disclover+resumen+de+cumplimiento+II+
!
!Figura+30.+Herramienta+Disclover+resumen+de+cumplimiento+III+
!
!!
Figura+31.+Herramienta+Disclover+resumen+de+cumplimiento+IV+
!!