La transformación digital constituye un reto para la nueva revolución industrial. Cada día más organizaciones recurren a soluciones de Cloud Computing para la consecución de los objetivos de negocio, utilizando la digitalización para mejorar los procesos e incrementar la rentabilidad.
Generalmente, el Cloud Computing (Cloud) suele comercializarse como SaaS (Software como servicio), PaaS (Plataforma como servicio) y IaaS (Infraestructura como servicio).

Servicios cloud y la transferencia de datos internacionales

La utilización del Cloud ayuda a contener la necesidad de recursos en tecnología. Ahora bien, el actual marco jurídico europeo, y en especial el del Reglamento General de Protección de Datos (en adelante, el Reglamento) presenta un desafío.

La sentencia dictada por el Tribunal de Justicia de la Unión Europea el pasado 16 de julio, ha afectado a un gran número de compañías que habían contratado soluciones que requerían un intercambio de datos entre distintos países no pertenecientes al espacio económico europeo. En este sentido, destaca la dificultad de encontrar servicios Cloud, sin que se produzcan transferencias internacionales de datos personales, ya que como es conocido, la necesidad de garantizar la disponibilidad de los servicios tecnológicos 365×24 supone que los mantenimientos de estos se realicen de acuerdo con lo que se conoce como «follow the sun», viéndose afectados una gran multitud de tratamientos de datos desde distintos países.

Llegados a este punto, ¿qué pueden hacer las organizaciones que necesiten contratar estos servicios?
Las organizaciones que vayan a contratar servicios Cloud deben asegurar que las empresas tecnológicas en las que confían y los subcontratistas de estas, cumplen la normativa europea de protección de datos y que implementan medidas adecuadas de ciberseguridad.

Cómo deben ser los acuerdos para cumplir con la protección de datos

Así, se deben suscribir acuerdos de protección de datos que incluyan cláusulas similares de contenido similar a las incorporadas en la reciente «Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo» y «Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo».

Asimismo, se deben consultar las «Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE» y «Recomendaciones 02/2020 sobre las garantías esenciales europeas para medidas de vigilancia» y establecer cláusulas suplementarias cuando los países a los que se van a transferir datos no permiten cumplir la normativa europea como consecuencia de la legislación de esos países.

No podemos olvidar que otro de los principios fundamentales del Reglamento es el de responsabilidad activa, pudiendo solicitar la acreditación de cumplimiento de estándares internacionales como la ISO 27001, ISO/IEC 27017, ISO/IEC 27017.
Asimismo, se puede solicitar la adhesión de las empresas que ofrecen los servicios Cloud a los Códigos de Conducta. A este respecto, recientemente, la asociación Cloud Infrastructure Service Providers in Europe (CISPE) , ha publicado el primer código de conducta conforme lo establecido en el Reglamento.

En todo caso, las organizaciones deben conocer el analizar los mecanismos bajo los cuales se podrán legitimar las transferencias internacionales de datos, analizar la legislación de los países afectados y comprobar si ofrecen un nivel esencialmente equivalente al de la Unión Europea.

En conclusión, es imprescindible que la contratación de los servicios tecnológicos de Cloud se someta a una evaluación de impacto relativa a las transferencias internacionales de datos.

Natalia Jiménez Jiménez, Delegada de Protección de Datos y Jefe de Area de Protección de Datos, Transparencia y Nuevas Tecnologías en Canal de Isabel II, S.A. y miembro del Grupo de Regulación de Autelsi.