Legal Toolbox
Herramientas Jurídicas
Acuerdo de servicio
Contrato de Tratamiento de Datos Personales
Medidas Transfronterizas
Medidas sobre el Subcontratista
Avisos de Transparencia




Paso 1
En este primer paso del CPC, comprobamos si el supuesto de hecho dado incluye cualquier información personal identificable.
No
Si la respuesta es NO, entonces no aplican medidas relativas a la protección de datos personales. El único instrumento aplicable es el contrato entre el prestador del servicio de nube y el cliente del servicio de nube.
Sí
Si la respuesta es SÍ, tiene que cumplirse con el segundo paso del Cloud Privacy Check (CPC).
Paso 2
En este segundo paso del CPC, comprobamos si hay terceras partes involucradas en la configuración del servicio de nube, que tratan datos personales o que tienen acceso a datos personales.
No
El diseño técnico del servicio, según lo previsto, es crucial. Por lo tanto, un abogado debe analizar y comprender la configuración técnica, por ejemplo, el diseño del servicio. En el diseño del servicio, un punto de cambio puede ser definido. Por tanto, el análisis conforme al CPC puede ser detenido. El único instrumento aplicable será acuerdo de servicio entre el cliente del servicio de nube y el prestador del servicio de nube. Si la descripción marcada por el punto de cambio se supera, será necesario implementar controles adicionales.
Sí
En particular, debe firmarse un acuerdo de tratamiento de datos personales. Esto además del acuerdo de servicio. Después del segundo paso, debe cumplirse con las pruebas tercera y cuarta.
Paso 3
En este tercer paso del CPC comprobamos si los datos personales salen de la jurisdicción del cliente del servicio de nube.
No
Si la respuesta es NO, entonces no se requiere ningún instrumento de protección de datos conforme a la comprobación y el análisis puede continuar con el cuarto paso.
Sí
Sí la respeusta es SÍ entonces debe aplicarse el “paquete transfronterizo”. Ese paquete incluye algún papeleo (el acuerdo de cláusulas modelo de la UE con el prestador del servicio de nube, activación del régimen de Puerto Seguro y las respectivas notificaciones a las autoridades, si se requieren). Después tiene que cumplirse con el cuarto paso.
Paso 4
En esta cuarto análisis, consideramos si el prestador de servicios de nube recurre a subcontratistas.
No
Si la respuesta es NO, entonces el Cloud Privacy Check puede estar finalizado y no se necesita utilizar ningún instrumento adicional.
Sí
Si la respuesta es SÍ, el conjunto de medidas al que nos referimos como “Subcontratista” tiene que ser aplicado. Este paquete requiere que el prestador del servicio de nube imponga las obligaciones que tiene, en relación con el cliente del servicio de nube, al subcontratista.
Además, el cliente del servicio de nube debería ser informado del hecho de que hay subcontratistas involucrados y dónde operan. La acción en cuestión aquí es la “Notificación al Cliente del Servicio de Nube”. La finalidad de esta medida es aumentar la transparencia.
Contributors
ES submission contributed by:

Belén Arribas
+ 34 93 362 05 45
Andersen Tax & Legal
belen.arribas@andersentaxlegal.es