Resultados de la primera acción europea que ha analizado el uso de la nube en el sector público
- La AEPD ha participado en esta iniciativa coordinada, que se ha realizado en el marco del Comité Europeo de Protección de Datos
- El objetivo del informe publicado es obtener una visión europea integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones al sector
- Se han estudiado un centenar de organismos públicos, 12 de ellos analizados por la AEPD
Imagen de Pete Linforthen Pixabay.
(24 de enero de 2023). La Agencia Española de Protección de Datos (AEPD) ha participado en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, una iniciativa realizada en el marco de las actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés). Este documento proporciona una visión integral para identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube por parte de los organismos públicos.
El informe, que ofrece una visión europea del sector público en esta materia, aglutina los resultados de las 22 autoridades de protección de datos que han participado en la iniciativa y el Supervisor Europeo de Protección de Datos. Se han estudiado un centenar de organismos públicos en el conjunto de países miembros, 12 de ellos analizados por la AEPD, y abarca una amplia gama de sectores como salud, finanzas, impuestos, educación y proveedores de servicios de tecnologías de la información. La finalidad del informe global es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.
Para llevarlo a cabo, la Agencia remitió un cuestionario a diversos organismos públicos para que estos identificasen los retos a los que se enfrentan para dar cumplimiento al Reglamento General de Protección de Datos (RGPD) cuando utilizan servicios en la nube en el desarrollo de sus actividades (procedimientos para su contratación, cuestiones relacionadas con las transferencias internacionales de datos, el papel del delegado de protección de datos, la adopción de medidas complementarias y disposiciones que rigen la relación entre responsables y encargados del tratamiento, etc).
Las autoridades de protección de datos, aun siendo conscientes de las dificultades que pueden tener los organismos públicos para contratar proveedores de servicios de cloud con garantías, ponen de manifiesto en el informe la importancia de cumplir con los requerimientos del Reglamento General de Protección de Datos teniendo en cuenta la naturaleza y la cantidad de datos personales que manejan.
A continuación se recogen de manera sistemática algunas de las recomendaciones para organismos públicos que se explican en el informe de forma más detallada:
- Implicar al delegado de protección de datos;
- Realizar una Evaluación de Impacto en la Protección de Datos;
- Garantizar que los roles de responsable del tratamiento y encargado estén clara e inequívocamente determinados;
- Garantizar que el proveedor de cloud computing actúa como encargado siguiendo las instrucciones que le ha facilitado el organismo público;
- Garantizar que el organismo público pueda oponerse a que otros encargados traten los datos;
- Vigilar que los datos personales sólo se traten para los fines determinados;
- Cooperar con otros organismos públicos en la contratación de proveedores de cloud;
- Revisar si los tratamientos se realizan de acuerdo con la evaluación de impacto;
- Identificar si el proveedor de servicios de cloud realiza el tratamiento de datos en un país fuera de la UE. Si es ese el caso, se debe tener en cuenta lo aplicable a las transferencias internacionales de datos según el RGPD;
- Analizar si la legislación del país de origen de proveedor de servicios de cloud permite que se le requiera el acceso a los datos que almacena en territorio de la UE;
- Comprobar que el organismo público tiene la posibilidad de realizar auditorías al proveedor de servicios de cloud y asegurar que se realizan;
- Examinar el contrato con el proveedor de servicios y, si fuera necesario, renegociarlo.
El EDPB ya está organizando la puesta en marcha de una nueva acción coordinada para este año 2023, que abordará la designación y situación de los delegados de protección de datos.
Noticias relacionadas
Las autoridades de control de protección de datos publican unas orientaciones para tratamientos que incorporen tecnologías de seguimiento Wi-Fi
Leer más
La Agencia lanza la herramienta ValidaCripto para evaluar los sistemas de cifrado
Leer más
Espacios de Datos en la UE: Sinergias entre espacios de datos y privacidad, retos de la UE y experiencias de España
Leer más