CSA-ES publica en castellano el estándar de acuerdo de privacidad en la nube
El capítulo español de Cloud Security Alliance (CSA-ES), iniciativa impulsada por ISMS Forum, ha adaptado al castellano el estándar de 'Acuerdo de Nivel de Privacidad', en su denominación inglesa 'Privacy Level Agreement (PLA)', promovido por la Cloud Security Alliance Global para la contratación de servicios en la nube.
El estándar de PLA se usará para describir el nivel de privacidad y protección de datos que un proveedor de servicios en la nube se compromete a mantener con respecto al tratamiento de los datos de carácter personal. Esta herramienta de autorregulación se alinea con las normativas europeas en materia de protección de datos y con las buenas prácticas y recomendaciones de distintas autoridades de protección de datos (GT art. 29, ICO, CNIL).
La versión en castellano del PLA también ha tenido en cuenta la recién publicada “Guía para la contratación de servicios cloud” de la Agencia Española de Protección de Datos. Sus objetivos se alinean, también, con la Estrategia Europea de Cloud Computing publicada en septiembre de 2012.
Cumplimiento, protección de datos, seguridad y responsabilidad son las piezas claves de este estándar, cuya adopción contribuirá a disminuir las barreras existentes para la implantación generalizada de servicios en la nube por parte de las organizaciones españolas. Asimismo, según CSA-ES, podría ayudar a organizaciones establecidas en varios países de Latinoamérica, en los que el enfoque legislativo y regulatorio en materia de protección de datos coincide con el europeo, en cuanto a los principios y obligaciones.
Una herramienta útil para proveedores y clientes
Mientras que los acuerdos de nivel de servicio (SLA) son usados generalmente para proveer métricas y otro tipo de información acerca del rendimiento de los servicios, los PLA se usarán para dirigir las prácticas en relación con la privacidad.
El PLA está destinado a proporcionar a los clientes y clientes potenciales de servicios cloud una herramienta para evaluar el compromiso del proveedor en materia de privacidad y protección de datos personales, capaz de apoyar el proceso de toma de decisión. Por su parte, a los proveedores les facilita una herramienta para la divulgación estructurada de sus prácticas en lo que se refiere a privacidad y protección de datos personales en la nube, especialmente cuando existen movimientos transfronterizos de datos.
José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos (AEPD), considera que los PLA “configuran una guía muy completa de los elementos que deben incluirse en los contratos de computación en nube y su adopción contribuirá a incrementar la confianza en los proveedores comprometidos con la protección de datos”.
