Nueva resolución sobre transferencias internacionales de datos.
Luz verde por parte de la Agencia Española de Protección de Datos para el uso de las plataformas cloud de Microsoft, así se podría titular la Resolución de declaración de adecuación de garantías para las transferencias Internacionales de datos a los Estados Unidos como motivo de la prestación de Servicios de computación en nube.
La extrema rigidez del marco normativo en referencia a las transferencias internacionales de datos supone un obstáculo para la contratación de servicios en la nube; pues bien, Microsoft Corporation mediante la firma de cláusulas contractuales tipos entre exportador e importador (artículo 70.2 del RLOPD) legaliza su tratamiento de datos, pero qué son estas cláusulas contractuales tipo? Es formalizar un acuerdo de garantías entre el importador (cliente) y exportador de los datos (Microsoft Corporation), con la autorización y visto y aprobado de la Agencia Española de Protección de Datos (AEPD), es decir; Microsoft ha facilitado un modelo de contrato (cláusulas contractuales adoptadas por la Comisión Europea en su decisión 2010/87/UE, y un acuerdo suplementario de tratamiento de datos en la nube) porque la AEDP lo valide y permita la transmisión de datos internacionales, evitando el escollo de la autorización de caso a caso para el tratamiento de los datos. Así, Microsoft presenta a la AEPD un modelo de contrato para su validación que firmarán todos y cada uno de los clientes, y que lo reproducirá con análogas garantías con todo tercero que subcontrate.
Las cláusulas contractuales tipo que aporta Microsoft son las establecidas por la Comisión Europea en su decisión 2010/87/UE; con un acuerdo suplementario para la subcontratación de servicios en la nube que se centra en dos aspectos: la realización de auditorías y la subcontratación con subencargados.
- Realización de auditorías: recordamos que es un deber del Responsable del Fichero y recae sobre él la elección del encargado de tratamiento, como la de supervisar que este tercero reúna las suficientes garantías. Uno de los elementos exigibles para evaluar las garantías es la acreditación por parte de Microsoft de la realización de las preceptivas auditorías de seguridad. Microsoft aporta al Acuerdo que se realizará por terceros profesionales en la materia auditorías anualmente de acuerdo con el estándar de seguridad ISO 27001. La AEPD acepta este elemento e, incluso, en los casos en que el cliente lo solicite, se abre la posibilidad al cliente a acceder a un resumen confidencial del informe de auditoría.
- El segundo elemento reside en la subcontratación de servicios por parte de Microsoft. Las garantías que aporta para la subcontratación de servicios son: el cliente conocerá con 14 días de antelación las empresas que subcontrata Microsoft (mediante visualización en web), y si no las acepta, podría dar por finalizado el contrato.
La Resolución de la AEPD establece que las garantías que aporta Microsoft Corporation pueden considerarse adecuadas para permitir la realización de una transferencia internacional de datos en el supuesto de que se subscriban por las partes y actuando como encargada de tratamiento. Este hecho eximirá a quien subscriba los servicios en la nube de Microsoft de la autorización expresa del Director de la AEPD en el marco de las transferencias internacionales, pero no de su notificación.
Podéis consultar la Resolución completa en:
@ Faura-Casas
Servicios
Faura-Casas es Miembro independiente de BKR International, una asociación global líder de contabilidad independiente y firmas de servicios a empresas, representando a más de 150 firmas con más de 300 oficinas en más de 70 países alrededor del mundo.
Contacto
Paseo de la Castellana, 123, 9º C. 28046 Madrid
