• 3 noviembre, 2011

La nube y la protección de datos: Si usa profesionalmente determinados servicios cloud podría incumplir la LOPD

La nube y la protección de datos

La contratación de servicios en la nube y la protección de datos es un asunto delicado. Los servicios que permiten trabajar, almacenar o gestionar online no siempre cumple con la normativa aplicable en protección de datos (LOPD).

En este sentido, el hecho de estar masivamente adoptados no impide que su uso se pueda considerarse ilegal y su empleo gravemente sancionado.

Puede sonar drástico pero simplemente gestionar el correo profesional con servicios gratuitos muy conocidos podría incumplir la LOPD (y decimos que «podrían» no cumplir por lo que se dirá después). Lo mismo sucedería con servicios de backup y sincronización como Dropbox o las utilidades derivadas de Google Apps.

Ello cuando el uso de tales servicios implique la recogida o tratamiento de datos personales, de manera que en los casos en que esto no se produzca no existe óbice legal desde la perspectiva de la LOPD.

De este modo, usar dropbox para almacenar planos de viviendas no incumpliría si no lleva datos personales pero usar este servicio para almacenar radiografías digitalizadas de clientes sí lo haría. En el caso del correo electrónico es casi imposible que no implique tratamiento de datos.

Así es, normalmente todos estos servicios que operan como nube precisan del almacenamiento de datos en servidores centrales de terceros. Y aquí está el problema: Cuando se usan servidores de terceros para almacenar, sincronizar o transmitir se está haciendo una transmisión de datos personales del fichero del emisor (Responsable del fichero según la Ley).

Sería un caso claro de servicio en la nube, por ejemplo, el de una asesoría que usa el servicio de correo Gmail, Yahoo, MSN o Hotmail u Outlook como medio de trabajo para tratar con sus clientes y empleados porque al enviar un mero correo electrónico se está depositando los datos de dichos clientes y empleados en los servidores de un tercero que muchas veces están en el extranjero y repartidos incluso por varios países.

El tratamiento de datos por cuenta de tercero (Gmail) para prestar un servicio al responsable del fichero (La Asesoría) que exija el acceso a datos personales contenidos en los ficheros de éste se denomina en la LOPD con la figura legal de “Encargado de Tratamiento”. La Ley exige la celebración de un «Contrato de Tratamiento de Datos Personales» con ese tercero (Google/Gmail). El contenido mínimo de dicho contrato viene determinado ya legalmente (por ejemplo, el contrato debe autorizar o prohibir necesariamente la subcontratación al tercero o se incurriría en una cesión ilegal de datos).

Requisitos de la LOPD a tener en cuenta en el uso de servicios en la nube y la protección de datos

Por tanto, respecto a los servicios en la nube y la protección de datos, su uso es lícito siempre que se celebre dicho contrato. El problema radica en que, por un lado, los servicios online como los descritos conllevan la aceptación de condiciones generales de contratación (y de privacidad), que están predispuestas unilateralmente y no se suelen ajustar a nuestra legislación, es decir, que las condiciones de privacidad no contemplan ni equivalen a nuestro contrato de tratamiento de datos exigido por el artículo 12 de la LOPD:

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

El Dictamen 1/2010 del Grupo de Trabajo del artículo 29 de la Unión Europea publicó lo siguiente a propósito de la figura del encargado de tratamiento con relación al correo electrónico:

Ejemplo nº 18: Plataformas de correo electrónico. Juan García busca una plataforma de correo electrónico que puedan usar él mismo y los cinco empleados de su empresa. Descubre que una plataforma adecuada y de fácil uso —además de ser la única que se ofrece gratuitamente— conserva los datos personales durante un período excesivo y los transfiere a terceros países sin las salvaguardias apropiadas. Además, las condiciones contractuales son del tipo «o lo tomas o lo dejas». En este caso, el Sr. García debería buscar a otro proveedor o —en caso de presunto incumplimiento de las normas de protección de datos o de ausencia en el mercado de otros proveedores apropiados— remitir el asunto a las autoridades competentes, como la autoridad de protección de datos, el servicio de defensa de los consumidores, las autoridades antimonopolio, etc.

Transferencia Internacional de Datos Autorizada

Si a ello se añade que el servicio en la nube radica en el extranjero, concretamente fuera de la Unión Europea, éste implica lo que la LOPD califica como transferencia internacional de datos y en estos casos exige que el país de destino haya sido homologado o autorizado previamente por la Administración Española (La Agencia Española de Protección de Datos) como un país seguro. Para que sea así existen dos posibilidades:

a) Que el Director de la Agencia Española de Protección de Datos autorice expresamente la transferencia que debemos realizar. Es decir, que le pidamos permiso al Director de la AEPD para que nos deje usar la nube de Google, Dropbox o cualquier otro servicio cloud.

B) Que ya exista un convenio de colaboración firmado con España en tal sentido que cumpla con el protocolo de seguridad Safe Harbour. Por ejemplo,  España considera que los USA no garantizan el nivel de protección adecuado porque su legislación basa la privacidad en la autorregulación de las empresas, pero las entidades de este país que estén certificadas como Puerto Seguro cumplirían la normativa española y UE sobre transferencias internacionales de datos. En este caso, el cumplimiento sería completo si, además de ello, sus condiciones contractuales contemplan el contrato de tratamiento de datos ya mencionado. Por eso Google no cumple completamente con la LOPD.

Conclusiones sobre la nube y la protección de datos

Normativa exigente.- La normativa española es muy rigurosa y gravemente sancionadora por lo general, y en lo relativo a la nube y la protección de datos en particular. Con los servicios de cloud computing  (tipo Google Apps y otros muchos), más aún al ser frecuente la transferencia internacional de datos personales.

Conflicto norma vs. desarrollo tecnológico y económico.- Un servicio como Google que, desde el punto de vista técnico puede llegar a ser lo más seguro si no cumple la normativa española no podrá usarse desde aquí sin resultar sancionable para quien se sirva de su nube. La paradoja puede llegar a ser que una empresa de hosting europea con menor nivel técnico de seguridad sea más recomendable legalmente desde el punto de vista del uso de servicios en la nube y la protección de datos correspondiente, porque sí cumple la normativa española y europea en la materia, pese a que su tecnología o procesos de seguridad sean algo inferiores. Desde luego se evidencia la problemática de una economía global en relación a unas legislaciones nacionales o locales. Sin embargo, hoy día, la seguridad de las TIC en Europa esta a un altísimo nivel y en aras de la privacidad es importante insistir en que es perfectamente posible conciliar desarrollo tecnológico y normativo.

Ilegalidad.- Dada la compleja normativa que sujeta el uso de servicios en la nube y la protección de datos hay que ir caso por caso para no cometer errores. En este sentido, los que relativizan los alcances legales de su uso, frente a los que avisan de la necesidad de comprobar su licitud conforme a nuestra normativa, pueden perjudicar gravemente pese a no tener intención.

En este caso, por ejemplo, Google España no aporta ni una sola consideración sobre nuestra legislación, se trata de una mera apología de los servicios de dicha empresa bajo la premisa de que «si tantos usan nuestros servicios será por algo…». Y además para justificarse invita a visitar este enlace donde no se puede comprobar absolutamente nada de lo que dice. Y, sin embargo, parece ser que la Agencia Española de Protección de Datos va a emitir un dictamen favorable al uso de Google Apps habiendo cierta incertidumbre hasta entonces.

La cruda realidad de las sanciones

La Audiencia Nacional Sala de lo Contencioso-Administrativo, sec. 1ª, en su sentencia de fecha 21-7-2004, confirmada por la del Tribunal Supremo de 28-4-2009, declara en su Fundamento de Derecho noveno sobre el caso de uso de servidores radicados en el extranjero que: “La última infracción imputada a Evento Original de Comunicación, S. L. es la del art. 33 LOPD, consistente en transferir datos de los participantes a Estados Unidos, sin informarles de ello ni recabar su consentimiento ni obtener la preceptiva autorización del Director de la Agencia de Protección de Datos.

El Artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal EDL 1999/63731 , establece que: 1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

La actora señala que los datos personales recabados a través de la citada página eran almacenados directamente sobre los equipos informáticos de la entidad Digital Daze, ubicada en Huntinton Beach, California 92615 (Estados Unidos), y que, por tanto, el circuito de comunicaciones no presenta una transmisión desde España hacia Estados Unidos sino justo todo lo contrario, una transmisión desde Estados Unidos hacia España, lo cual no está sujeto a autorización alguna por parte del Director de la Agencia de Protección de Datos. Y que en definitiva, el papel de Evento Original de Comunicación, S. L. en relación con el servidor Digital Daze ubicado físicamente en Estados Unidos se ha limitado a alquilar una máquina en la que cada participante ha ido colocando sus datos. Virtualmente los datos fueron recogidos en todo momento por una empresa española miembro de la CEEE, aunque físicamente, debido a la naturaleza global de internet, el servidor usado para la transmisión “on-line” estaba el Estados Unidos. Y considera que no ha existido transferencia de datos porque los concursantes depositaron sus datos directamente en el servidor Digital Daze, y no concurre la figura del transmitente y destinatario.

Sin embargo, lo cierto es que Evento Original de Comunicación, S. L., obtenía los datos de los concursantes físicamente a través de la página Web y que sin conocimiento y autorización de los mismos los datos personales recabados se almacenaban directamente sobre los equipos informáticos de la entidad estadounidense Digital Daze, Huntinton Beach, California 92615 (Estados Unidos), donde permanecían hasta que desde la sede de Evento Original de Comunicación, S. L. se ejecutaba la orden semanal de transferencia a los equipos de ASCI DIRECT, S.A.L. como se pone de manifiesto, en el punto 1.8 del Acta de Inspección (folio 109 del expediente).

En definitiva, unos datos personales que se facilitan para participar en un concurso y que se supone que los mismos no van a traspasar la frontera del territorio nacional, sin conocimiento y sin consentimiento alguno de las personas afectadas, aparecen recogidos o almacenados en un equipo informático de una empresa que se encuentra en Estados Unidos.

Y tanto da que el mecanismo empleado haya sido la ubicación directa de los datos personales en el servidor extranjero por los propios afectados, -además, volvemos a repetir, sin su conocimiento y consentimiento- que los datos se hayan transmitido al extranjero, después de pasar por un servidor español, porque el resultado ha sido el mismo: los datos han llegado a conocimiento de una entidad ubicada en el extranjero.

Y que duda acabe que dentro del concepto de transferencia de datos hay que comprender tanto la cesión como la comunicación de los mismos, como entiende la norma 1ª de la Instrucción 1/2000, de 1 de diciembre de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, interpretación que compartimos.

Aunque es cierto que materialmente los datos personales los depositaba cada concursante en el servidor extranjero, no lo es menos que Evento Original de Comunicación, S. L. utilizaba un sistema técnico por medio del cual aquella persona que accedía a la dirección de internet que hemos dicho, se veía compelida irremediablemente a que los datos personales que facilitaba para participar en un concurso, quedaran reflejados en los archivos de una entidad extranjera, fuera de los límites de la Unión Europea.

Es decir, utilizó a los propios afectados como medios instrumentales de la comunicación de los datos a un país que no proporciona un nivel de protección de datos equiparable y sin autorización del Director de la Agencia de Protección de Datos.

Así pues, estamos en presencia de una conducta que se encuentra tipificada como infracción muy grave en el art. 44.4.e) de la LOPD, con lo cual también ha de confirmarse la sanción impuesta en la resolución impugnada.

Y por supuesto, dicha conducta está incluida dentro del ámbito de aplicación de la LOPD, y no nos encontramos, como nos quiere hacer ver la actora, en el supuesto de exclusión contemplado por el art. 2.1.c: “..salvo que tales medios se utilicen únicamente con fines de tránsito.

(…) Finalmente, Evento Original de Comunicación, S.L. argumenta que la transferencia no requiere la autorización previa del Director de la Agencia toda vez que Digital Daze cumple con los principios de puerto seguro.

Conforme a la Decisión de la Comisión 2000/520/CE, de 26 de julio, publicada el día 25 de agosto de 2000 en el Diario Oficial de las Comunidades Europeas, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa al nivel de protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, cada transferencia de datos desde la Comunidad Europea a Estados Unidos de América deberá cumplir las condiciones siguientes: a) la entidad receptora de los datos deberá haber manifestado de forma inequívoca y pública su compromiso de cumplir los principios de puerto seguro (anexo 1) aplicados de conformidad con las FAQ (anexo II); b) la entidad estará sujeta a la jurisdicción de uno de los organismos públicos estadounidenses que figuran en el anexo VII. La entidad deberá autocertificar su adhesión y notificarlo al Departamento de Comercio de Estados Unidos de América.

Analizando el supuesto en cuestión se observa que la transferencia de datos efectuada desde España al servidor de Digital Daze no cumple las aludidas condiciones, por lo que no puede considerarse que la transferencia goce de un nivel adecuado de protección y que por ende no le sea de aplicación a la misma la obligación contenida en el artículo 33 de la Ley Orgánica 15/1999 EDL 1999/63731.

Resultado del expediente de la Agencia: Una sanción salvaje de 300.000 euros.

Estas referencias hablan por sí mismas y aclaran que no se trata de ninguna exageración de los juristas. Una sanción de cincuenta millones de las antiguas pesetas puede arruinar, literalmente, a una empresa.

Actualización: Noticias relacionadas con este tema:

IV Foro de la Privacidad: Los nuevos fenómenos tecnológicos ponen a prueba la regulación del derecho a la privacidad.

La UE defiende que todas las empresas se sometan a las leyes europeas de protección de datos

Google reconoce que sus acciones escapan a la legislación europea.

Las empresas defraudadas con el cloud computing

Roban datos de 24 millones de clientes de la web de comercio de ropa Zappos

Apple retira WhatsApp de su App Store por un problema de seguridad (actualizado)

Vulnerabilidad en WhatsApp puede dejar parte de tus conversaciones al descubierto

Habla Sony: “Hackers de PSN han robado datos personales”, algunas recomendaciones

Los centros de datos de Google (Gmail, Docs..etc.)

Algunos CIO no ven fiable Dropbox

 

Los servicios en la nube y la protección de datos | UCELAY Bufete de Abogados Mercantiles en Madrid

Consulte

91 445 03 07