La Agencia Española de Protección de Datos (
El informe, que ofrece una visión europea del sector público en esta materia, aglutina los resultados de las 22 autoridades de protección de datos que han participado en la iniciativa y el Supervisor Europeo de Protección de Datos. Se han estudiado un centenar de organismos públicos en el conjunto de países miembros, 12 de ellos analizados por la AEPD, y abarca una amplia gama de sectores como salud, finanzas, impuestos, educación y proveedores de servicios de tecnologías de la información. La finalidad del informe global es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.
Para llevarlo a cabo, la Agencia remitió un cuestionario a diversos organismos públicos para que estos identificasen los retos a los que se enfrentan para dar cumplimiento al Reglamento General de Protección de Datos (
Las autoridades de protección de datos, aun siendo conscientes de las dificultades que pueden tener los organismos públicos para contratar proveedores de servicios de cloud con garantías, ponen de manifiesto en el informe la importancia de cumplir con los requerimientos del Reglamento General de Protección de Datos teniendo en cuenta la naturaleza y la cantidad de datos personales que manejan.
A continuación se recogen de manera sistemática algunas de las recomendaciones para organismos públicos que se explican en el informe de forma más detallada:
- Implicar al delegado de protección de datos;
- Realizar una Evaluación de Impacto en la Protección de Datos;
- Garantizar que los roles de responsable del tratamiento y encargado estén clara e inequívocamente determinados;
- Garantizar que el proveedor de cloud computing actúa como encargado siguiendo las instrucciones que le ha facilitado el organismo público;
- Garantizar que el organismo público pueda oponerse a que otros encargados traten los datos;
- Vigilar que los datos personales sólo se traten para los fines determinados;
- Cooperar con otros organismos públicos en la contratación de proveedores de cloud;
- Revisar si los tratamientos se realizan de acuerdo con la evaluación de impacto;
- Identificar si el proveedor de servicios de cloud realiza el tratamiento de datos en un país fuera de la UE. Si es ese el caso, se debe tener en cuenta lo aplicable a las transferencias internacionales de datos según el RGPD;
- Analizar si la legislación del país de origen de proveedor de servicios de cloud permite que se le requiera el acceso a los datos que almacena en territorio de la UE;
- Comprobar que el organismo público tiene la posibilidad de realizar auditorías al proveedor de servicios de cloud y asegurar que se realizan;
- Examinar el contrato con el proveedor de servicios y, si fuera necesario, renegociarlo.
El