Modelo de «Acuerdo de Nivel de Privacidad» para Cloud Services

• La información del proveedor de servicio (denominación,
  dirección del lugar de establecimiento, representante local en la UE, función
  asumida en materia de protección de datos, datos de contacto del delegado de
  protección de datos que atenderá las solicitudes del cliente y datos de
  contacto del responsable de seguridad de la información).
•  Las categorías de datos personales que el
  cliente puede o no transmitir o tratar en la nube. 
• Las formas en que los datos serán tratados. Esto
  abarca desde las tareas llevadas a cabo por iniciativa del proveedor, las que
  el cliente solicita adicionalmente y las que éste llevará a cabo por cuenta
  propia. Además incluye temas como subcontratistas, uso de software adicional en
  el sistema del cliente o la ubicación de los datos personales. Este
  último aspecto supone una de las principales polémicas de este tipo de servicio. En función de la ubicación donde se encuentren almacenados los datos, una entidad,
  al estar sujeta a las leyes y regulaciones del país o región donde se ubica y
  no a donde resida el cliente, se puede ver afectada por leyes y regulaciones diferentes en temas de privacidad y protección de datos. Un claro ejemplo de ley (quizás intrusiva) es la americana USA
  Patriot ACT.
• Temas relacionados a transferencia y migración
  de datos transfronterizos ante situaciones de normalidad y emergencia.
• Medidas de seguridad técnicas, físicas y
  organizativas que se implementarán para la protección de los datos, además de las
  medidas de seguridad que se implementarán para satisfacer su disponibilidad,
  integridad y confidencialidad, así como también transparencia, aislamiento,
  capacidad de intervención, portabilidad y responsabilidad.
• Temas relacionados a la supervisión y
  monitorización por parte del cliente al proveedor de servicio para verificar
  que cumple apropiadamente con las medidas de seguridad descritas.
• Auditorías de terceros al proveedor del
  servicio, y al servicio contratado. También la posibilidad de facilitar al
  cliente informes, estudios y frecuencia con la que se actualizan.
•  Notificación de violaciones de datos de carácter
  personal o de la privacidad de la información del cliente.
• Políticas de retención de datos del proveedor
  del servicio, condiciones para devolver los datos de carácter personal y su
  destrucción una vez el servicio haya finalizado.
•  Políticas y procedimientos para garantizar el
  cumplimiento legal del acuerdo por parte del proveedor de servicio,
  subcontratistas y socios de negocios, así como la cooperación de cada uno de
  ellos con el cliente para el cumplimiento legal de las disposiciones de
  protección de datos.
• Procesos para la gestión y respuesta de peticiones
  de revelación de datos de carácter personal por parte de autoridades.
• Compensaciones en caso de que el proveedor de
  servicio, subcontratistas y socios de negocios incumplieran las obligaciones
  descritas en el acuerdo.
• Datos de contacto y procedimiento para preguntas
  y reclamaciones que el proveedor del servicio o subcontratistas pudieran
  recibir por parte del cliente.
• Alcance de las pólizas de ciberseguros del
  proveedor de servicio de Cloud Computing incluyendo seguros relativos a fallos
  de seguridad.

Este modelo busca contribuir a la
generación de confianza y transparencia en la prestación de este tipo de
servicios. Pare ello, la Cloud Security Alliance se ha basado en la normativa
europea en materia de protección de datos en vigor, además de tener en cuenta
las buenas prácticas y recomendaciones de distintas autoridades de protección
de datos como el Grupo Europeo de Protección de Datos del Artículo 29 y la Agencia
Española de Protección de Datos.

De esta manera, el Acuerdo de Nivel de Privacidad puede ser
considerado como una herramienta para reducir las barreras u obstáculos
existentes entre clientes y proveedores a la hora de la adquisición de este tipo
de servicios.