12/06/2014

Microsoft ‘aprueba’ en la adecuación de sus servicios de cloud computing ante la AEPD

Blog, Cloud híbrido, Office 365 AEPD, Azure, cloud, cloud híbrido, Microsoft, Office 365, protección de datos

El pasado 9 de mayo de 2014, la Agencia Española de Protección de Datos (AEPD) declaró adecuadas a la legislación europea las garantías que ofrece Microsoft en sus servicios de cloud computing (Office 365, Microsoft Dynamics CRM OnLine y Windows Azure).

Se trata de una resolución pionera de gran relevancia, no sólo por las ventajas que comporta para las compañías que tengan contratados sus servicios en el cloud de Microsoft, sino también porque reflejan los esfuerzos de Redmond velar por el cumplimiento de la normativa de protección de datos personales y por salvaguardar la confidencialidad de datos de la compañía. No obstante, la solicitud fue presentada por Microsoft Corporation.

Pre resolución

Previamente a la resolución de la AEPD, se planteaba un problema respecto a los servicios de cloud ofrecidos por determinados proveedores:

El almacenamiento de la información de los clientes en servidores ubicados fuera del Espacio Económico Europeo (Unión Europea, Noruega, Liechtenstein e Islandia)
El almacenamiento de la información de los clientes en servidores ubicados fuera de países que no garantizan un nivel adecuado de protección de los datos. Sí lo garantizan, en cambio, Suiza, Argentina, Canadá, Guemsey, Isla de Man, Safe Harbor EEUU.

En ambos casos se hacía referencia a una transferencia internacional de datos. Es decir, tal y como define la legislación europea sobre protección de datos personales,»una transmisión de los datos fuera del territorio del EEE». En este supuesto, antes de proceder al tratamiento de los datos y a la inscripción del fichero en el Registro General de Protección de Datos (RGPD), se debía solicitar la autorización a la AEPD. Sin duda, un dolor de cabeza extra y una mayor pérdida de tiempo para las compañías por la (excesiva) burocracia.

Acuerdo entre la AEPD y Microsoft

Un caso pionero

A raíz de la resolución, el problema respecto a los servicios de cloud computing ofrecidos por Microsoft Corporation se soluciona. Antes de entrar en materia, conviene tener claros dos conceptos: exportador e importador:

El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j. RLOPD).

El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ. RLOPD).

Hasta la fecha, según la normativa sobre protección de datos personales, corresponde al exportador de los datos solicitar anta la AEPD la autorización para la realización de transferencia internacional de datos. Es decir, a aquellas empresas que habían contratado con Redmond los servicios de cloud.

Pero lo ocurrido en este supuesto es que Microsoft, como importador de los datos, se ha “adelantado” solicitando a la AEPD que considere adecuadas las cláusulas establecidas en sus contratos como garantías suficientes del cumplimiento de la legislación europea en materia de protección de datos personales, en lo que concierne a la transferencia internacional de datos.

Autorización automática

De este modo, mediante la citada resolución, Microsoft ha conseguido que se autoricen automáticamente las transferencias de datos internacionales realizadas a Microsoft por sus clientes, sin que la empresa que contrate los servicios de cloud con la compañía deba solicitar autorización a la AEPD. La única obligación de las empresas es indicar la realización de la transferencia internacional de datos al amparo de la resolución en el momento de inscribir los ficheros correspondientes.

Habiendo consultado telefónicamente con la AEPD, simplemente, en el momento de cumplimentar el formulario para la inscripción de cada fichero, en el apartado 10 de Transferencias internacionales, indicaremos en Otras categorías de destinatarios Microsoft Corporation.

Esta resolución no exime a las empresas de efectuar, a título personal, el registro de los ficheros de carácter personal ubicados en los servicios cloud de Microsoft ante la AEPD. Próximamente, explicaremos cómo proceder para efectuar dicho registro.

Consulta la resolución de la Agencia Española de Protección de Datos.

Esther Gallardo es abogada de Awerty, experta en nuevas tecnologías

Microsoft ‘aprueba’ en la adecuación de sus servicios de cloud computing ante la AEPD

Pre resolución

Un caso pionero

Autorización automática

Related Posts

La agencia pionera en Inteligencia Artificial y española: descúbrela

Blindar la navegación web contra el ransomware: pasos a seguir

Aumentar la protección de las pymes ante ciberataques es crucial