Privacidad en la Nube a consulta
La Agencia Española de Protección de Datos, principal garante del cumplimiento de la LOPD, ha hecho un llamamiento público para que todas las entidades radicadas en España que conozcan de cerca o desarrollen iniciativas basadas en el Cloud Computing les hagan llegar sus experiencias. El objetivo es adecuar y adaptar la normativa actual sobre protección de datos personales cuando estos son almacenados en servidores accesibles a través de Internet.
En la actualidad la Computación en Nube constituye un modelo de prestación de servicios de tecnología en auge y que puede presentar diversas tipologías: empresas que cuenten con sus propios sistemas, empresas que contraten con terceros, cadenas de subcontrataciones. Diversos estudios reflejan que cada vez más entidades públicas y privadas –desde grandes multinacionales hasta pequeñas empresas de ámbito local y Administraciones Públicas- utilizan sistemas de Computación en Nube en alguna de sus modalidades, debido a las ventajas puede proporcionar en términos de ahorro, alta disponibilidad, o adaptabilidad, entre otras.
La prestación de servicios que aprovechen las posibilidades de la computación en la nube suscita recelos en cuanto a las garantías de privacidad aplicables y exigibles. En el ámbito de los datos sanitarios la Agencia de Protección de Datos es, como corresponde, mucho más exigente y por ello la integración de estos servicios se está viendo frenada. No por que no existan sistemas técnicamente eficientes para garantizar la privacidad casi absoluta, si no por la inexistencia de unas directrices que orienten sobre cuáles de las opciones aplicables son jurídicamente exigibles.
Los servicios de HCE, por ejemplo utilizan servidores externos, en algunos casos de empresas públicas y en otros de contratos por subasta. Pero la pérdida del control directo sobre una información tan sensible por parte del responsable directo de la preservación de la privacidad comporta un riesgo. Siendo así, unas directrices de la Agencia de Protección de Datos que indicasen los requisitos mínimos exigibles para garantizar que no se produzcan intromisiones y filtraciones resulta imprescindible.
Al entregar la custodia de los datos y por tanto acceso a los mismos, a un tercero hace necesario que se especifiquen en el contrato de prestación de servicios las medidas de seguridad requeridas por el contratante (consulta privada, sistemas públicos de salud...) y las condiciones en que tendrán que ser tratados estos ficheros para evitar brechas de seguridad garantizando además su accesibilidad y preservación en todo momento.
Asegurarse de que las medidas de seguridad se cumplen a nivel técnico y organizativo es responsabilidad no sólo de quien maneja los datos si no también del responsable directo de mantener esa información, en nuestro caso, la institución sanitaria. También debe tenerse en cuenta que en algunos casos, los servidores en los que se almacena esta información pueden estar instalados en el extranjero, un factor a tener muy en cuenta pues el movimiento internacional de estos datos puede tener muchas y muy variadas implicaciones. En el ámbito de la preservación de datos sanitarios sería inadmisible que una institución sanitaria contratase estos servicios de Cloud Computing en el extranjero teniendo la posibilidad de hacerlo en un lugar que se atenga a la legalidad estatal.
En definitiva, la Agencia Española de Protección de Datos ha movido ficha de la mejor forma que podía hacerlo. Aprender de la experiencia de quienes ya llevan años lidiando con asuntos relativos a la preservación de la privacidad online es una apuesta inteligente y que esperemos, lleve a la creación de normativa o recomendaciones avanzadas en este área que tanto interesa en el desarrollo de la eSalud.
Deja un comentario