CLOUD COMPUTING: ¿EXISTE CONCIENCIACIÓN SOBRE EL RIESGO?
Una de las últimas tendencias que están despuntando en el panorama tecnológico contemporáneo es el conocido Cloud Computing o la castellanizada Computación en Nube, considerada como la nueva tecnología web basada en la prestación de servicios de computación a través de Internet.
Con el objetivo de facilitar la intercomunicación empresarial y favorecer el desarrollo laboral en cualquier lugar del mundo, las empresas incorporan esta novedad, concretamente, permitiendo el uso de aplicativos propios ubicados en un servidor web con acceso a través de Internet. En este sentido, por ejemplo, un empleado de una entidad podrá desarrollar su labor empresarial tanto en la oficina, como, por ejemplo, directamente en una visita comercial, sin necesidad de disponer en todo momento de sus herramientas propias de trabajo.
Sin embargo, todas estas ventajas que presenta esta nueva tecnología web, se pueden ver ensombrecidas por los riesgos que pueden llevar aparejados en caso de que se haga un mal uso de la herramienta o no se observen las medidas de seguridad pertinentes que permitan una protección extremada de la información.
En atención a las características propias de este tipo de tecnología, deberá tenerse especial consideración de los riesgos inherentes a ella, en cuanto a la pérdida de información, la falta de integridad, o el acceso indebido a la misma por personal no autorizado al efecto.
En este sentido es conveniente hacer referencia a la existencia de una normativa específica, que lo que pretende, fundamentalmente, es proteger y regular el tratamiento de datos de carácter personal y, como consecuencia, de la información empresarial en general porque, mediante la utilización de estas aplicaciones web, lo que se está haciendo es ponerla en un servidor común a nivel mundial como es Internet. Tal normativa está integrada básicamente por la ya conocida Ley de e Protección de Datos, concretamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), y por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD (RDLOPD).
Dicha normativa, prevé una serie de medidas tanto técnicas como organizativas con el objetivo de velar por la seguridad de los datos, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como, por ejemplo, el establecimiento de sistemas de identificación y autenticación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información, es decir, evitando así un acceso indebido por personal no autorizado al efecto; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o, por ejemplo, el establecimiento de cifrados en la información cuando se proceda a su transmisión a través de redes públicas, velando así por su integridad. En este sentido es conveniente puntualizar que dichas medidas recogidas en la normativa anteriormente referida, variarán en función la tipología de datos objeto de tratamiento, haciéndose mucho más restrictivas a medida que los datos impliquen o lleven aparejada una sensibilidad mayor, véase, por ejemplo, datos de salud, afiliación sindical, religión, creencias…
En este sentido, se recoge la obligación de que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad asignado, en función del tipo de datos objeto de tratamiento.
Pero no sólo debe atenderse a la normativa local si no que dada la propia naturaleza de este tipo de servicios es muy probable que no hallemos ante una Transferencia Internacional de Datos, dado que muchas aplicaciones web se acabarán ubicando en servidores extranjeros. El Movimiento Internacional de Dados, viene regulado en la normativa en materia de Protección de Datos, concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos, en la cual se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Así mismo, también se recoge la obligación de cumplimiento de una serie de requisitos tales como, el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.
En base a todo ello, debemos ser conscientes de que nos encontramos ante una medida que presenta innumerables ventajas para el desarrollo empresarial dentro de una organización, siempre y cuando se incorporen las medidas de seguridad técnicas pertinentes para garantizar la integridad y confidencialidad de la información. Por ello, cada vez más, el empresario se va concienciando de la importancia de la contratación de este tipo de servicios a personal con conocimientos y formación en la materia, puesto que las sanciones por
