Las autoridades europeas de protección de datos analizan las implicaciones del uso de la nube en el sector público

16-02-2022 — AR/2022/020

El Comité Europeo de Protección de Datos lidera la iniciativa de las autoridades de protección de datos europeas para investigar el cumplimiento del Reglamento General de Protección de Datos en el sector público cuando utiliza los servicios basados en la nube.

 

El Comité Europeo de Protección de Datos (CEPD o EDPB, por sus siglas en inglés) ha promovido la investigación conjunta de las autoridades de protección de datos sobre la contratación y el uso de los servicios en la nube por el sector público, para determinar el grado de cumplimiento del Reglamento General de Protección de Datos.1

Esta indagación tiene su base, sobre todo, en la anulación parcial del acuerdo de «Privacy Shield» con los Estados Unidos en la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (ver alerta relacionada).

Iniciativa del EDPB

La iniciativa del Comité forma parte del marco de ejecución coordinado, que  presentó en octubre de 2020.

Es la primera acción coordinada entre las autoridades de control sobre protección de datos y sus principales objetivos son:

  1. obtener una visión integral para identificar y fomentar las mejores prácticas,
  2. detectar posibles deficiencias y aportar recomendaciones para contratar y usar servicios en la nube,
  3. conocer el nivel de cumplimiento de la protección de los datos personales de los ciudadanos y, en su caso, contribuir a elevarlo en toda la Unión Europea (UE).

El papel de las autoridades de control

En la iniciativa descrita participan 22 de las 27 autoridades, entre ellas la Agencia Española de Protección de Datos (AEPD).

Analizarán la contratación y el uso de los servicios en la nube de más de 75 organismos e instituciones públicas del Espacio Económico Europeo (EEE) de diferentes sectores, como salud, finanzas, educación, compras centralizadas o de proveedores de servicios informáticos.

Utilizarán cuestionarios para recabar información e identificar los problemas de protección de datos que surjan, y abarcará:

  • los procedimientos de contratación de esos servicios,
  • las transferencias internacionales de datos a que dan lugar, y
  • las garantías y reglas aplicables en la relación entre responsables y encargados del tratamiento.

Resultados del análisis

Esperan que la iniciativa permita analizar los resultados conjuntos y, a la vista de ellos, tomar decisiones de supervisión y control de forma coordinada, y desarrollar un seguimiento específico en la UE.

El EDPB publicará un informe sobre el resultado de este análisis a finales de 2022.

Aunque el proceso se limita al sector público, sus conclusiones pondrán en evidencia los problemas que afrontan las entidades privadas cuando contratan servicios de la nube a proveedores ubicados en Estados Unidos. Cabe afirmar, por tanto,  que está acción es el primer paso de las autoridades de control para hacer frente a los problemas que suscita la sentencia de Schrems II.


1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).