Cuando queremos contratar los servicios de otra empresa a la nube para gestionar mejor o de manera más rápida y eficaz nuestros datos, es imprescindible que tengamos en cuenta las siguientes consideraciones:
1. Determinar qué tipo de servicio necesitaríamos a la nube (gestión de correos, gestión y almacenamiento de bases de datos o programas...) y su pertenencia. Por ejemplo, a veces no hace falta que contratamos un servicio a la nube si el único que queremos es realizar copias de seguridad. En este sentido, se pueden contratar empresas que ofrecen la realización de copias en otros formatos y que seocupan también de su custodia.
2. Detectar qué nivel de seguridad habría que aplicar a la información que queremos subir o almacenar a la nube (básico, medio o alto), de acuerdo con la normativa de protección de datos .
3. Buscar y comparar diferentes prestamistas de servicios para ver la prestación y condiciones que nos ofrecen, no sólo por temas económicos sino también por la seguridad, entre otros.
4. Antes de contratar, verificar que las condiciones en que se prestará el servicio, son como nos dicen: ubicación del servidor, existencia de subencarregats de tratamiento, políticas de seguridad que aplica internamente aquella empresa; cómo están regulados los derechos de los usuarios, así como otras obligaciones legales que la empresa en cuestión tenga que cumplir.
5. Qué tipo de nube nos hace falta y ofrece (público, privado, híbrido...).
6. Qué tipo de contrato nos ofrece. Muchas veces, sobre todo en el caso de contratar grandes emprendidas prestamistas de este tipo de servicios, nos ofrecen un modelo tipo de contrato (de adhesión) donde se detalla la cláusula de protección de datos estándar. Si bien, tenemos que confirmar que la cláusula sea correcta y que se cumple con las medidas de seguridad para el tratamiento que queremos hacer.
7. Tenemos que ser conscientes de que el prestamista se convierte en el que la normativa denomina "encargado de tratamiento" y por lo tanto, está sujeto a nuestras instrucciones y medidas; pero nosotros continuamos siendo los responsables del tratamiento y, por lo tanto, ante cualquier denuncia o incidencia , responderemos inicialmente.
8. Para asegurarnos que el prestamista cumple, podemos optar para pedirle directamente, pedirle la aportación de un certificado que lo acredite o bien establecer la necesidad de una auditoría externa, por ejemplo.
9. Hace falta que tengamos en cuenta que si contratamos como empresaespañola, la ley aplicable será la española. Por lo tanto, esta cláusula no se puede modificar contractualmente.
10. Hace falta que sepamos donde están ubicados los servidores de este prestamista puesto que, si se encuentran enelEspacio Económico Europeo (Unión Europea, Islandia, Noruega y Liechtenstein), se cumplirá con las medidas adecuadas al nivel de protección de datos; pero si está ubicado fuera, habrá que ver si a la empresa actúa bajo los principios del Safe Harbor o Puerto Seguro, o en qué situación se encuentra y, en este caso, dado que se trata de una transferencia internacional de datos, hará falta la autorización de la Agencia de Protección de Datos.
En caso de querer disfrutar de servicios gratuitos a la nube, también es importante que revisamos las políticas legales que nos hacen aceptar en el momento del alta y valorar si nos conviene o no disponer de este tipo de servicios teniendo en cuenta, también, los aspectos de seguridad y privacitat .
Vanesa Alarcón es abogada y directora de Legaltis