Algunes qüestions clau de protecció de dades al núvol. Cap a una «regulació nebulosa»

S'aborden algunes deficiències de la vella i superada regulació nacional i europea de protecció de dades aplicable als serveis del núvol, així com acció d'institucions de protecció de dades per corregir-les. També s'analitza l'esperat reglament europeu de protecció de dades, entre altres aspectes, la seva tendència a reforçar les obligacions del prestador de serveis de núvol, com a «encarregat» de protecció de dades. Igualment s'estudien les exigències respecte del conjunt contractual i la subcontractació de serveis de núvol. L'ús del núvol freqüentment suposa una transferència internacional de dades; sobre això s'aborden vies de flexibilització de la necessitat d'autorització prèvia (a través de les clàusules contractuals tipus i binding corporate rules). Finalment, es valora el paper de la normativa tècnica privada sobre serveis de núvol (com les normes ISO o l’autoregulació del sector) i la futura normativa tècnica que haurà d'aprovar o la Comissió Europea o cada Estat, segons com es reguli finalment en el futur reglament europeu. Aquesta coregulació per normativa tècnica pública o privada acaba conformant-se com una regulació més o menys nebulosa.
This article points out some of the deficiencies in the old, and now superseded, national and European data protection regulations applicable to cloud computing, and the action of data protection institutions to correct these deficiencies. It also analyses the awaited European data protection regulation on cloud services, in particular regarding the duties of the cloud service provider as “processor” and the cloud customer as “controller”. Likewise, the article details demands regarding the contracts and outsourcing of cloud services. As regards the requirements for international transfers of data to third countries, the article looks at standard contractual clauses and Binding Corporate Rules as ways of relaxing the need for prior authorisation. Finally, the article discusses the role of private technical standards on cloud services (such as ISO standards or self-regulation rules), as well as the future technical regulations of public origin (by the European Commission or by each state, depending on the final version of the European data protection regulation). This co-regulatory complex implies, in the author’s view, a “nebulous” legal system.
Se abordan algunas deficiencias de la vieja y superada regulación nacional y europea de protección de datos aplicable a los servicios de la nube, así como acción de instituciones de protección de datos para corregirlas. También se analiza el esperado reglamento europeo de protección de datos, entre otros aspectos, su tendencia a reforzar las obligaciones del prestador de servicios de nube, como «encargado» de protección de datos. Igualmente se estudian las exigencias respecto del conjunto contractual y la subcontratación de servicios de nube. El uso de la nube frecuentemente supone una transferencia internacional de datos; al respecto se abordan vías de flexibilización de la necesidad de autorización previa (a través de las cláusulas contractuales tipo y binding corporate rules). Finalmente, se valora el papel de la normativa técnica privada sobre servicios de nube (como normas ISO o autorregulación del sector) y la futura normativa técnica que habrá de aprobar o la Comisión Europea o cada Estado, según se regule finalmente en el futuro reglamento europeo. Esta corregulación por normativa técnica pública o privada acaba conformándose como una regulación más o menos nebulosa.