Según LOPDGEST, el Cloud Computing presenta algunos riesgos que pueden surgir en caso de que se haga un mal uso de la herramienta, o no se apliquen las medidas de seguridad pertinentes que permitan una protección información. Deberá tenerse especial consideración en cuanto a la pérdida de información, la falta de integridad, o el acceso indebido a la misma por personal no autorizado al efecto.

En España existe una normativa específica cuyo objetivo es proteger y regular el tratamiento de datos de carácter personal y la información empresarial que mediante la utilización de estas aplicaciones web, se alojan en un servidor común a nivel mundial como es Internet. Ésta, es la normativa en materia de Protección de Datos, concretamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD (RDLOPD).

Concretamente el artículo 85 del RDLOPD, dispone expresamente que “las medidas exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local”, conforme a las exigencias recogidas en el reglamento.

En este sentido se prevé una serie de medidas de seguridad, tanto técnicas como organizativas, con el objeto de velar por la seguridad de los datos de carácter personal, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como el establecimiento de sistemas de identificación y autenticación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o por ejemplo el establecimiento de cifrados en la información especialmente sensible cuando se proceda a su transmisión a través de redes públicas, velando así por su integridad.

Es conveniente tener en cuenta que, dada la propia naturaleza de este tipo de servicios, es muy probable que nos encontremos ante una Transferencia Internacional de Datos, ya que muchas aplicaciones web se acabarán alojando en servidores extranjeros. El Movimiento Internacional de Datos viene regulado en la normativa en materia de Protección de Datos, y concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos.

En ésta se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Además, también se recoge la obligación de cumplimiento de una serie de requisitos, como el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.