Este nuevo modelo de servicios requiere prestar especial atención a la seguridad de los datos almacenados

El concepto nube proviene de la terminología en inglés del Cloud Computing, y se refiere a un nuevo modelo de organización de la información que habitualmente guardábamos en nuestro PC y que, con este nuevo sistema tecnológico, permite a los usuarios almacenar todo tipo de información, en servidores de terceros, de forma que estos pueden ser accesibles desde cualquier terminal con acceso a Internet.

Importantes plataformas como Facebook, Twitter o Flickr, así como buscadores ya ofrecen herramientas y funcionalidades de este tipo. Si bien este modelo conlleva innombrables ventajas como ahorro de costes y libertad en el manejo de la información desde cualquier terminal con acceso a la Red, se debe prestar especial atención a la seguridad de la información, particularmente desde el punto de vista de la protección de la intimidad y de los datos personales, ya que con este sistema se facilita a un tercero la información, documentos y datos hasta ahora eran almacenados en un equipo o servidor local.

¿Cómo regula la LOPD y la LSSI la información almacenada en la nube?

El principal problema radica en que, por el propio funcionamiento de la nube, no sabemos dónde está almacenada nuestra información. Según las empresas proveedoras dichos datos pueden estar en cualquier parte del mundo. Esto, sin embargo, conlleva importantes problemas legales. En este sentido, la LOPD establece en su artículo 33, como norma general de obligado cumplimiento en esta materia, que no se puede hacer ningún tipo de transferencia internacional de datos , ni aunque ésta sea temporal, hacia países que no proporcionen un nivel de protección de datos similar al que existe en el Espacio Económico Europeo (EEE).

Las empresas prestadoras de servicio deberán cumplir con los siguientes requisitos para el cumplimiento de la LOPD en la Transferencia Internacional de Datos:

  1. Cumplir con el deber de información y con las obligaciones establecidas por la LOPD para la cesión de datos (consentimiento informado, informar de la transferencia, tipología de los datos, finalidad del fichero y la identidad del destinatario) o para el acceso a datos por terceros (contrato de prestación de servicios).
  2. Notificar la transferencia internacional de datos a la AEPD, indicando el país de destino, así como si se acoge a una de las excepciones para no requerir la autorización del Director. Una vez notificada la transferencia internacional de datos a la Agencia, dicho organismo puede solicitar al Responsable del Fichero la documentación complementaria para autorizar la transferencia internacional.

La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) establece que los proveedores de servicios establecidos en España que realicen actividades consistentes en la prestación de servicios de acceso a Internet, están obligados a informar a sus clientes de forma permanente, sencilla, eficaz y gratuita sobre:

  1. Medidas de seguridad aplicables en la provisión del servicio.
  2. Medidas de carácter técnico para la seguridad de la información.
  3. Herramientas para filtrar y restringir el acceso a determinados contenidos y servicios.