Consejos legales en la contratación de un servicio de Cloud

Hoy en día casi cualquier empresa o autónomo tiene contratado algún servicio de Cloud. Tenemos miles de ejemplos a nuestro alrededor que van mucho más allá del antiguo puro hosting que conocíamos. Casi todos los servicios de CRM, soporte, prestaciones de servicios, plataformas, desarrollo de páginas web, sistemas, etc. tienen un servicio de Cloud detrás. Cuando contratamos estos servicios y los mismos acceden a los datos de nuestros usuarios deben cumplir con la normativa de protección de datos.

Lo importante en la contratación de un servicio de Cloud teniendo en cuenta la normativa de protección de datos europea es que quién contrata el servicio será Responsable del tratamiento y el proveedor de Cloud será el Encargado del mismo. Según la normativa de protección de datos aplicable si el usuario de nuestros servicios está establecido en España o en la Unión Europea la legislación aplicable, inclusive, aunque nuestra empresa no sea europea, será la europea y se aplicará por lo tanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Este implica que la parte que contrata el servicio tenga responsabilidad sobre cualquier actuación que se realice con los datos, pudiendo ser sancionada por un eventual incumplimiento de la normativa de protección de datos por parte de nuestro proveedor de Cloud (Ej.: Seremos responsables si se envían los datos por el prestador del servicio a un país que no tenga un nivel de protección equiparable sin las garantías adecuadas. Hay que tener especial cuidado con el lugar donde se alojan los servidores, es importante conocerlo antes de contratar un servicio de Cloud.)

Por ello, en el proceso de contratación con un prestador de servicios de Cloud recomiendo tener en cuenta los siguientes puntos:

● Antes de contratar al proveedor de Cloud tener un deber de diligencia y comprobar que el proveedor cumple con la normativa. Algunos de los puntos relevantes a revisar serían:

o Subencargados de tratamiento y sus políticas.

o Lugar donde se alojan los datos.

o Cumplimiento de derechos de usuarios

o La portabilidad, recuperación y borrado de datos.

● Posteriormente pasaremos a suscribir un acuerdo de Encargado de Tratamiento con el prestador del servicio de Cloud adicional o incluido en los servicios de Cloud contratados.

● Dentro de dicho acuerdo son importantes los siguientes puntos:

o Establecer garantías jurídicas en caso de transferencias internacionales de datos.

o Los servicios subcontratados por el proveedor de Cloud (Ej.: Servicios app adicionales, proveedores de pago, geolocalización, etc) deben cumplir igualmente con la política de protección de datos acordada con el proveedor de Cloud.

o Comprobar las medidas de seguridad del proveedor y si tiene certificado de seguridad.

o Establecer una obligación de confidencialidad y de portabilidad con el proveedor. En caso de resolver el contrato tenemos derecho a guardar los datos.

o Garantizar el ejercicio de derechos ARCO por parte de nuestros usuarios.

o Determinar una asunción adecuada y proporcional de responsabilidades entre las partes.

No obstante todo lo anterior, es cierto que hoy en día la mayoría de los servicios de Cloud contratados por Pymes son contratos online de adhesión, donde nuestra empresa no tiene ninguna o casi ninguna facultad de negociación. En estos supuestos, nuestra obligación es comprobar bien todas las políticas aplicables en la contratación del servicio y asegurarnos, que cumplimos con los requisitos exigidos por la legislación en la contratación del mismo y traslademos adecuadamente dicha información a nuestros usuarios. Es decir, seamos diligentes.

Las opiniones aquí manifestadas son conceptos generales que no constituyen opinión profesional ni asesoría jurídica de ningún tipo.

@ Noviembre 2021. Patricia Manso García, quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial de esta obra sin autorización escrita de Patricia Manso García