• Gobierno
• Sin categoria cloud

La nube en las administraciones públicas

• Por staff
• 04/09/2013

(América Latina) Los entornos de las administraciones públicas operan y gestionan grandes volumen de datos sensibles, por lo que se debe tener en cuenta la forma en que se opera en estos escenarios para evitar riesgos. Frente a esto, es aconsejable tomar medidas de precaución adicionales en su implantación para garantizar los derechos y la seguridad de los ciudadanos.

Debido a las características de la nube computacional, que permite que los datos que manejan las Administraciones puedan tratarse fuera del territorio nacional, se debe tener en cuenta la normativa que regula los movimientos internacionales de datos, aplicable a empresas privadas como públicas. Es decir, que se debe dejar en claro que autoridades de terceros países, en los que se traten datos personales, pueden acceder a la información de las Administraciones públicas.

Frente a esto es importante obtener información del prestador de servicios de Cloud Computing y del país en donde se gestionan esos datos. Obtener estos accesos a dicha información, es un factor muy relevante para decidir sobre la contratación de estos servicios y el proveedor que los vaya a prestar.

Las administraciones públicas están sujetas a un marco legal específico para adecuarse a la prestación de servicios basados en la nube: Ley de Contratos del Sector Público; Ley 11/2007 de Acceso Electrónicos de los Ciudadanos a los Servicios Públicos; el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad.

En cuanto a los aspectos para tener en cuenta antes de contactar un servicio de cloud, se debe requerir: La formalización de un contrato en los términos previstos en el art. 12 de la Ley de Protección de datos y en los artículos 20 a 22 de su reglamento de desarrollo para la contratación de servicios de Cloud Computing.

Además, según lo mencionado en la disposición adicional vigesimosexta del Real Decreto Legislativo 3/2011, el prestador de servicios de nube tendrá la consideración de encargado de tratamiento. Asimismo, al término de la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado.

Por otra parte, en cuanto a la posible subcontratación de servicios por parte del encargado de tratamiento, esta disposición cita que deberá reunir los siguientes requisitos: Que dicho tratamiento se haya especificado en el contrato firmado por la administración; que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la administración que actúa como responsable; y que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD.

Todos los contratos de prestación de servicios en la nube computacional, deben especificar las medidas técnicas y organizativas que el prestador de servicios tiene previsto implantar para garantizar la seguridad de todos los datos.

Además, los especiales requisitos de disponibilidad, confidencialidad e integridad que requieran estos servicios electrónicos deben reflejarse en el contrato mediante un acuerdo de nivel de servicio.