Siguiendo con el tema de Protección de Datos, del que se escribió ya en este blog la semana pasada, en esta ocasión se va a tratar el tema de la computación en nube o cloud computing.
La computación en nube, o el empleo de los datos almacenados en grades data center en diferentes partes del mundo, implica, por un lado, grandes facilidades para la gestión de datos, pero al mismo tiempo trae consigo problemas jurídicos, en especial en lo relativo al control sobre el tráfico y a la protección de los titulares de los datos que se almacenan. El contexto en el que nos situamos es Internet, y de todos es sabido lo que supone plantear la cuestión del control de los datos personales que circulan por la Red.
La contratación de un servicio de cloud, público o privado, lleva asociado -o debería llevar asociado- el cumplimiento de una serie de garantías, como el respeto de los derechos ARCO, la comunicación de incidencias en la seguridad, la portabilidad, o el borrado al finalizar el contrato. La protección de los datos personales que circulan por el cloud, al margen de la protección derivada del contrato, la conceden las normas sobre protección de datos que rigen en los diferentes Estados. En este sentido, dentro de la UE se cuenta con la protección de la normativa comunitaria, así como con la de las normas nacionales, que deben responder a lo que establezcan las normas comunitarias.
La cuestión fundamental, en la mayoría de las situaciones derivadas de las gestiones del cloud, es determinar qué normativa se aplica para resolver la cuestión jurídica en lid y qué tribunal resulta competente para entender del asunto. En los daños derivados de los incumplimientos del contrato de servicios de cloud resulta relativamente sencillo resolver estas cuestiones. Ahora bien, pasamos a una resolución mucho más compleja en el caso de los daños extracontractuales. En este tipo de reclamaciones dentro de la UE, había que acudir al art. 4 de la Directiva 95/46/CE, de 24 de octubre de 1995, de protección de datos, y subsidiariamente al Reglamento 864/2007 del Parlamento Europeo y del Consejo de 11 de junio de 2007 (Roma II), que se refiere a la normativa aplicable, y al Convenio de Bruselas que ha sido superado por el Reglamento del Consejo 44/2001 sobre competencia judicial y ejecución de resoluciones judiciales en materia civil y mercantil. Sin embargo, el nuevo Reglamento de Protección de Datos de la UE simplifica la cuestión. Por un lado porque uniformiza la normativa aplicable dentro de la UE, que será el propio Reglamento, sin tener que recurrir a las normas internas de los Estados miembros. Y por otro lado, porque le atribuye competencia a la UE para entender del asunto, tanto si el responsable del tratamiento tiene un establecimiento en la Unión, como si no lo tiene, siempre y cuando se trate de datos relativos a residentes y las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados o con el control de su conducta. Se amplía, por tanto, la competencia de la Unión en cuanto al control de los datos personales de sus residentes, incluyéndose la responsabilidad, no sólo del responsable del tratamiento de los datos, sino también del encargado de los mismos.
La reforma que recoge el nuevo Reglamento de Protección de Datos de la UE aumenta, por tanto, la protección que se ofrece a los particulares frente a los tratamientos de datos en cloud, tratando de eliminar alguno de los problemas jurídicos que plantea este tipo de servicios. Se ha señalado aquí la reforma que afecta al ámbito de aplicación territorial y a los posibles responsables del mismo, pero con respecto al cloud también resulta muy interesante toda la reforma que afecta a la transferencia internacional de datos, de la que nos ocuparemos en otra aportación del blog.