Octubre 2014

protecciÓn de datos

ISO 27018: UNA HERRAMIENTA ÚTIL EN LA NUBE

English version

La Organización Internacional para la Estandarización (ISO) ha aprobado recientemente la Norma ISO 27018, un nuevo estándar de adopción voluntaria que regula por primera vez el tratamiento de datos personales en el área de los servicios en la nube. Este nuevo estándar proporciona un marco de normativo dirigido a proveedores de servicios en la nube que facilita el cumplimiento de varias de las obligaciones del encargado de tratamiento conforme a Derecho europeo y español.

Aunque la Norma ISO 27018 está basada en estándares de seguridad previos (tales como las Normas ISO 27001 y 27002), ésta no incluye únicamente principios generales de seguridad de la información. La finalidad de la Norma ISO 27018 es proporcionar a los proveedores de servicios en la nube (tanto del sector privado como del público) una guía para proteger su información y la de sus clientes.

Algunas de las principales disposiciones que establece la Norma ISO 27018 son las siguientes:

  • Los datos personales deben ser tratados únicamente de acuerdo con las instrucciones del cliente del servicio en la nube.
  • Los datos personales únicamente puede ser tratados para fines de marketing o publicidad con el consentimiento expreso del cliente. La prestación del servicio no puede condicionarse a la prestación de dicho consentimiento.
  • El proveedor de servicios en la nube debe asistir a sus clientes en la gestión de las solicitudes que éstos reciban para el acceso, rectificación o cancelación de datos personales de terceros.
  • El proveedor de servicios en la nube debe comunicar a sus clientes los nombres de sus sub-encargados de tratamiento y los lugares en los que eventualmente los datos personales puedan ser procesados (bien por el propio encargado o por cualquiera de sus sub-encargados).
  • Debe implementarse una política para la devolución, transmisión o disposición de datos personales, por ejemplo, cuando concluye el servicio.
  • Los servicios serán sometidos a auditorías de seguridad de forma periódica (o cuando tenga lugar algún cambio significativo en relación con la seguridad de la información).
  • Deberán suscribirse acuerdos de confidencialidad con el personal que pueda acceder a datos personales y se les deberá proporcionar formación adecuada.
  • Con carácter general, el proveedor de servicios en la nube que actúe como encargado de tratamiento deberá consultar a su cliente con carácter previo a la realización de una comunicación de datos, salvo que dicha consulta esté prohibida por ley.

La Norma ISO 27018 proporciona un marco legal que facilita el cumplimiento de muchas de las obligaciones de los encargados de tratamiento conforme a las normas de protección de datos españolas, y constituye un primer paso muy útil para la armonización de los estándares de privacidad en el área de los servicios de la nube.

 volver al inicio

La información contenida en esta Circular es de carácter general y no constituye asesoramiento jurídico

October 2014

DATA PROTECTION

ISO 27018: A USEFUL TOOL IN THE CLOUD

The International Standards Organization (ISO) has recently adopted ISO 27018, a new voluntary standard governing the processing of personal data in the area of cloud services for the very first time. This new cloud standard provides a privacy compliance framework for cloud services providers that addresses various key processor obligations under both EU and Spanish data protection laws.

Although ISO 27018 is based on previous information security standards (such as ISO 27001 and ISO 27002), it does not limited to general information security principles. The aim of ISO 27018 is to provide cloud services providers (of the private and public sectors) general guidance for protecting their own information assets and their customers’ information assets.

Some of the main provisions set out by ISO 27018 are the following:

  • Personal information is processed only in accordance with the cloud customer’s instructions.
  • The processing for marketing or advertising purposes requires the customer’s express consent. This consent cannot be made a condition for receiving the service.
  • The cloud provider must assist customers regarding data subjects requests to access, correct or erase their personal data.
  • The names of any sub-processors and the possible locations where personal information may be processed (by either the cloud provider or any of its sub-processors) must be disclosed to the customer.
  • A policy for the return, transfer or disposal of personal data is to be implemented, for instance when the service comes to an end.
  • Services must be subject to independent information security reviews at scheduled intervals (or when significant information security changes occur).
  • Confidentiality agreements are to be entered into with staff who have access to personal data and provide appropriate staff training.
  • The cloud provider shall consult the corresponding cloud customer before making any data disclosure (including from law enforcement) as a general rule, unless prohibited from doing so by law.

ISO 27018 provides a general framework that enables the compliance with many processors’ obligations under the Spanish data protection regulations and a very useful first step in the harmonisation of privacy standards in the area of cloud services.

 back to top

The information contained in this Newsletter is of a general nature and does not constitute legal advice