El término anglosajón “cloudcomputing”, que en España se ha bautizado como “la nube”, para dar mejor cumplimiento de la normativa de protección de datos, tanto el Consejo General de la Abogacía Española (CGAE), como la Agencia Española de Protección de Datos (AEPD), presentaron un informe conjunto sobre “Utilización del cloud computing  por los despachos de abogados y protección de datos de carácter personal”.

La normativa aplicable si los datos están en la nube es la ley del Estado donde radique el abogado, ya que éste es el responsable del tratamiento (art. 3.d de la LOPD y art. 5.1.q del RLOPD): quien toma la decisión sobre la finalidad de los datos que recaba, su contenido y el uso del tratamiento. El prestador del servicio en la nube será el encargado del tratamiento (art. 3.g de la LOPD y art. 5.1.i del RLOPD), pues trata los datos personales por cuenta del responsable.

Hay que tener en cuenta que si los servidores de la nube son prestados en territorio Europeo, no tienen la consideración de transferencia internacional de datos, por lo que no es necesaria la autorización de la AEPD.  Lo mismo ocurre cuando el servicio es prestado en un país con un nivel de protección adecuado, considerando la normativa de protección de dicho país tercero, equiparable a la europea. Por último, si el proveedor se encuentra en los Estados Unidos, como suele ocurrir en el 90% de los casos, y está adherido al acuerdo de «puerto seguro», es aplicable lo anterior. En los demás casos será necesario la autorización de la AEPD.

]]>