Quan volem contractar els serveis d'una altra empresa al núvol per tal de gestionar millor o de manera més ràpida i eficaç les nostres dades, és imprescindible que tinguem en compte les següents consideracions:
1. Determinar quin tipus de servei necessitaríem al núvol (gestió de correus, gestió i emmagatzemament de bases de dades o programes...) i la seva pertinença. Per exemple, a vegades no cal que contractem un servei al núvol si l'únic que volem és realitzar còpies de seguretat. En aquest sentit, es poden contractar empreses que ofereixen la realització de còpies en altres formats i que se n'ocupen també de la seva custòdia.
2. Detectar quin nivell de seguretat caldria aplicar a la informació que volem pujar o emmagatzemar al núvol (bàsic, mitjà o alt), d'acord amb la normativa de protecció de dades.
3. Buscar i comparar diferents prestadors de serveis per veure la prestació i condicions que ens ofereixen, no només per temes econòmics sinó també per la seguretat, entre d'altres.
4. Abans de contractar, verificar que les condicions en què es prestarà el servei, són com ens diuen: ubicació del servidor, existència de subencarregats de tractament, polítiques de seguretat que aplica internament aquella empresa; com estan regulats els drets dels usuaris, així com altres obligacions legals que l'empresa en qüestió hagi de complir.
5. Quin tipus de núvol ens cal i ofereix (públic, privat, híbrid...).
6. Quin tipus de contracte ens ofereix. Moltes vegades, sobretot en el cas de contractar grans empreses prestadores d'aquest tipus de serveis, ens ofereixen un model tipus de contracte (d'adhesió) on es detalla la clàusula de protecció de dades estàndard. Si bé, hem de confirmar que la clàusula sigui correcta i que es compleix amb les mesures de seguretat per al tractament que volem fer.
7. Hem de ser conscients de que el prestador es converteix en el què la normativa anomena "encarregat de tractament" i per tant, està subjecte a les nostres instruccions i mesures; però nosaltres continuem essent els responsables del tractament i, per tant, davant qualsevol denúncia o incidència, respondrem inicialment.
8. Per assegurar-nos que el prestador compleix, podem optar per demanar-li directament, demanar-li l'aportació d'un certificat que ho acrediti o bé establir la necessitat d'una auditoria externa, per exemple.
9. Cal que tinguem en compte que si contractem com a empresaespanyola, la llei aplicable serà l'espanyola. Per tant, aquesta clàusula no es pot modificar contractualment.
10. Cal que sapiguem on estan ubicats els servidors d'aquest prestador ja que, si es troben a l'Espai Econòmic Europeu (Unió Europea, Islàndia, Noruega i Liechtenstein), es complirà amb les mesures adequades al nivell de protecció de dades; però si està ubicat fora, caldrà veure si l'empresa actua sota els principis del Safe Harbor o Port Segur, o en quina situació es troba i, en aquest cas, donat que es tracta d'una transferència internacional de dades, caldrà l'autorització de l'Agència de Protecció de Dades.
En cas de voler gaudir de serveisgratuïts al núvol, també és important que revisem les polítiques legals que ens fan acceptar en el moment de l'alta i valorar si ens convé o no disposar d'aquest tipus de serveis tenint en compte, també, els aspectes de seguretat i privacitat.
Vanesa Alarcón és advocada i directora de Legaltis