La autoridad francesa de protección de datos aprueba el primer código de conducta europeo para los servicios en la nube

17-06-2021 — AR/2021/084

Este código de conducta es el primer específico para los proveedores de servicios de infraestructura en la nube que se promulga en la Unión Europea que trata los aspectos fundamentales de estos servicios y que se centra en la aplicación de medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de los requisitos del RGPD.

La Commission Nationale de l’Informatique et des Libertés (​CNIL), autoridad de control francesa de protección de datos, ha publicado, el 9-2-2021, el «Código de conducta sobre protección de datos para los proveedores de infraestructura y servicios en la nube».

Este código, el primero en la Unión Europea, lo presenta la Cloud Infrastructure Services Providers in Europe (CISPE, o Asociación Europea de Computación en Nube, AECN). Asimismo, ha recibido un dictamen favorable del Comité Europeo de Protección de Datos (EDPB).

El objetivo que persigue este código de conducta es facilitar a los proveedores adheridos la demostración del cumplimiento de los requisitos del Reglamento General de Protección de Datos (RGPD), dado que exige a los responsables del tratamiento que elijan únicamente a aquellos encargados del tratamiento que acrediten la aplicación de las medidas técnicas y organizativas apropiadas que garanticen la protección de los derechos del interesado.

Aunque esté aprobado por la CNIL, este código también es operativo en España.

Entrará en vigor tan pronto como la Comisión Europea apruebe alguno de los órganos de control propuestos para asegurar su cumplimiento. La adhesión es voluntaria.

A continuación destacamos las cuestiones más importantes:

Composición del código de conducta

El código esta dividido en cinco apartados:

  1. El alcance geográfico y material del código.
  2. Los requisitos en materia de protección de datos.
  3. Las obligaciones de transparencia de las medidas de seguridad.
  4. Las modalidades de adhesión al riesgo.
  5. La gobernanza del código.

Aspectos más relevantes

Ámbito de aplicación

El código será aplicable en toda la Unión Europea, siempre y cuando el proveedor de servicios de infraestructura en la nube actúe como encargado de tratamiento.

Requisitos para los proveedores

Resaltamos los siguientes:

  • Adoptar las medidas técnicas y organizativas adecuadas en las instalaciones del centro de datos, los servidores y el equipo de red que utilicen para ayudar a los clientes a proteger los datos personales contra el tratamiento no autorizado y la pérdida, el acceso o la divulgación accidentales o ilegales y a atender las responsabilidades de seguridad.
  • Mantener el programa de seguridad para identificar y minimizar los riesgos internos previsibles sobre la seguridad de la red, mediante la evaluación de los riesgos y pruebas periódicas.
  • Revisar periódicamente la seguridad de la red y la idoneidad del programa de seguridad de la información para determinar la necesidad de adopción de medidas de seguridad adicionales.

En este sentido, el anexo A del documento recoge el listado de medidas técnicas y organizativas concretas de los  proveedores,1 referidas a:

  • seguridad de la información,
  • seguridad de los recursos humanos,
  • gestión de acceso de los usuarios,
  • seguridad física y medioambiental,
  • gestión de vulnerabilidades, y
  • protección contra el malware.

El anexo B recopila la lista de comprobación del cumplimiento de proveedores, con medidas como:

  • principio de minimización de datos,
  • bases de legitimación,
  • seguridad de la información,
  • transferencias internacionales de datos, y
  • subencargados de tratamiento de datos.

Transferencias internacionales de datos

El proveedor debe permitir al cliente que opte por utilizar el servicio para el almacenamiento y tratamiento de sus datos dentro del Espacio Económico Europeo (EEE), e informarlo sobre la región y el país donde serán almacenados y tratados los datos, incluso cuando se sirva de subencargados del tratamiento.

Si el responsable de tratamiento:

  • almacena los datos en algún país fuera del EEE al que la Comisión Europea no haya reconocido que tenga regulado un sistema de protección de datos adecuado, o
  • el proveedor puede acceder a los datos desde un país no reconocido,

el proveedor implementará o pondrá a disposición de los clientes un estándar de cumplimiento de la normativa de protección de datos de la UE para dar legalidad a la transferencia de los datos personales al país correspondiente (como pueden ser, por ejemplo, las cláusulas contractuales tipo).

Solicitudes gubernamentales

Como regla general, se prohíbe la comunicación de los datos del cliente a las autoridades de un tercer país, a menos que sea necesaria para cumplir una decisión de la autoridad administrativa, o una sentencia, orden o solicitud judicial legalmente vinculante.

En todo caso, debe informar al cliente sobre la divulgación de sus datos, y no divulgar más datos de los estrictamente necesarios.

La comunicación de datos a las autoridades se realizará en virtud de lo establecido en el artículo 48 del RGPD.

Brechas de seguridad

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, las violaciones de la seguridad de los datos personales de las que tenga conocimiento. Asimismo, ayudará al responsable a garantizar el cumplimiento de las obligaciones de notificación del incidente a la autoridades de control y de información a los afectados.


1 Muchos de los controles de seguridad están detallados en las normas ISO 27001, ISO 270176 e ISO 27018.