• 14 febrero, 2013

Los servicios en la nube sin contrato de tratamiento de datos complican la contratación de las empresas. El ejemplo de Movistar.

Los servicios en la nube y el tratamiento de datos

Recientemente, Movistar ha ofertado a sus clientes de ADSL un servicio de disco duro virtual con prestaciones de backup y sincronización. Sin embargo, Movistar (TELEFÓNICA DE ESPAÑA, S.A.U. y CIF nº 82/018474), solamente limita sus servicios a cuatro aspectos: comercialización, soporte técnico e incidencias y facturación. El resto del servicio lo presta otro proveedor del mismo grupo: Telefónica (Telefónica Soluciones de Informática y Comunicaciones de España, S.A. con CIF º A-78053147). Veremos que los servicios en la nube sin contrato de tratamiento de datos  (LOPD) dificultan su contratación a las empresas al introducir costes indirectos.

En este servicio se pueden conocer las condiciones generales de contratación, pero atendiendo al tratamiento de datos, nos vamos a centrar principalmente en la cláusula 13 que regula lo siguiente:

(I) A efectos de lo dispuesto en la normativa vigente sobre protección de datos, MOVISTAR informa al CLIENTE de la existencia de ficheros automatizados con datos de carácter personal creados por ella y bajo responsabilidad de la misma, cuya finalidad es realizar el mantenimiento y la gestión de la relación contractual con el CLIENTE así como de las labores de información del SERVICIO y otros servicios asociados, así como actividades relacionadas con los mismos. Asimismo, le informa de la posibilidad de ejercitar, de acuerdo con lo establecido en dicha normativa, los derechos de acceso, rectificación, cancelación y oposición, dirigiéndose a los números de atención comercial al cliente o mediante escrito dirigido a Telefónica de España, Apartado de Correos 46155 Ref. Datos 28080 Madrid.

(II) MOVISTAR se compromete al cumplimiento de la obligación de secreto respecto a los datos de carácter personal y de su deber de guardarlo, adoptando las medidas de seguridad que impone la legislación vigente para evitar su alteración, pérdida, tratamiento o acceso no autorizado.

(III) La prestación del SERVICIO objeto del contrato puede exigir que algunas de las facilidades que integran el mismo sean provistas por una tercera empresa distinta a MOVISTAR. Por dicha razón, El CLIENTE consiente por medio de esta cláusula que MOVISTAR comunique al PROVEEDOR, los datos personales identificativos y de productos y servicios contratados que resulten necesarios para la correcta prestación del SERVICIO. Dicha comunicación sólo podrá tener la finalidad anteriormente descrita, así como la de realizar las labores de información y comercialización, que posibiliten al CLIENTE el acceso a los servicios y productos más avanzados de telecomunicaciones. El cliente consiente expresamente el tratamiento de sus datos de carácter personal y aquellos que se generen de la propia relación contractual con la finalidad de prestar y facturar el servicio contratado.

(IV) Si el CLIENTE no desea que sus datos personales puedan ser utilizados con fines promocionales ajenos a los de los servicios contratados, deberá comunicarlo a los números de atención comercial o a la dirección indicada en el apartado (I) de la presente cláusula, significándosele que de no recibir noticias suyas en el plazo de un mes, se entenderá otorgado su consentimiento que, en todo caso, podrá revocar en cualquier momento.

(V) El cliente consiente el envío de comunicaciones comerciales de MOVISTAR sobre productos y servicios de MOVISTAR o comercializados por esta a su dirección electrónica. No obstante, si no desea recibir esta información puede revocar su consentimiento en cualquier momento comunicándolo a la dirección indicada en el apartado (I) de la presente cláusula.

Dado que EL SERVICIO es prestado por EL PROVEEDOR y que MOVISTAR únicamente es encargada del soporte, atención al cliente y gestión de incidencias, así como de la gestión del cobro, MOVISTAR no es responsable por el tratamiento de los datos que el CLIENTE proporcione a EL PROVEEDOR con ocasión de la prestación del servicio, que en su caso se regirá por los términos y condiciones que EL PROVEEDOR comunique al CLIENTE.

Esta cláusula puede inducir a pensar que la política de tratamiento de datos y comunicaciones comerciales es adecuada pero de un análisis algo más detenido podemos extraer como conclusión que el servicio no será viable a nivel empresarial y que la cláusula, de aplicarse tal cual, daría lugar a una vulneración de derechos de quien contrate aunque sea válida parcialmente.

 

Consentimiento para recibir comunicaciones comerciales de terceros

 

Un primer problema se encuentra en el uso de la palabra del término “ajenos” en la menciónpuedan ser utilizados con fines promocionales ajenos a los de los servicios contratados” pues es ambiguo dado que puede entenderse de dos maneras distintas:

a) Que los fines promocionales serán para servicios del mismo proveedor pero diversos a los ya contratados. Tal posibilidad aparece cubierta por el artículo 21 de la LSSICE, lo que no dará lugar a mayores problemas si se permite la cancelación de dichas comunicaciones en cada correo electrónico.

b) Que los datos sean usados para promover servicios verdaderamente ajenos, es decir, de terceros distintos de Movistar pues, como define tal término la Real Academia se entiende por tal lo “Perteneciente a otra persona”. Es decir, una persona jurídica diversa a quien comercializa el servicio y con quien estamos contratando. Lo que puede referirse a Telefónica como proveedora del servicio o a un tercero si subcontratan determinados servicios: Call Centers; Factoring; Bancos de Datos…

Y este segundo caso es el más probable viendo el sentido del término y el resto del contrato predispuesto por Movistar, por lo que, si se llevara a cabo, estaríamos ante una vulneración del derecho de los usuarios puesto que la Ley (LSSICE) exige un consentimiento expreso PREVIO en su artículo 21, apartados primero y segundo, para toda comunicación comercial a todo aquel no haya sido antes cliente y para productos o servicios similares o análogos a los ya prestados al decir que: “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”, “Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

Es razonable que sea así, pues de otro modo, bastaría suscribirse a un servicio en la nube para que nos llovieran ofertas de terceros. La técnica que usa Movistar en este caso es el llamado “consentimiento informado” aquél que se da por hecho transcurrido un tiempo sin una conducta activa de oposición por parte del contratante. Sin embargo, esta forma de proceder, es ilegal conforme a dicha ley que ha querido evitar a los usuarios la necesidad de desplegar una actividad cada vez que un proveedor trata de usar su base de datos de clientes para promover los servicios de terceros. Incluidos los de empresas del mismo grupo.

Si Movistar se refiriera únicamente al primer caso bastaría con usar la terminología legal o bien haber usado los términos “similares” o “diversos” en lugar de “ajenos” porque éste, en el sentido común del mismo, sugiere prestación por tercero y no simplemente distintos.

De hecho, la siguiente referencia a las promociones comerciales es correcta y muy significativa por contraste dado que en ésta se asegura que será para fomentar los servicios de la propia Movistar al decir: (V) El cliente consiente el envío de comunicaciones comerciales de MOVISTAR sobre productos y servicios de MOVISTAR o comercializados por esta a su dirección electrónica. No obstante, si no desea recibir esta información puede revocar su consentimiento en cualquier momento comunicándolo a la dirección indicada en el apartado (I) de la presente cláusula.

De ello cabría deducir que la referencia anterior a fines promocionales ajenos indica prestados por terceros pues no tendría sentido la redundancia.

 

Cesión de datos a terceros sin contrato de tratamiento de datos

 

Pero es en el último párrafo donde se retrata la operadora cuando declara que: Dado que EL SERVICIO es prestado por EL PROVEEDOR y que MOVISTAR únicamente es encargada del soporte, atención al cliente y gestión de incidencias, así como de la gestión del cobro, MOVISTAR no es responsable por el tratamiento de los datos que el CLIENTE proporcione a EL PROVEEDOR con ocasión de la prestación del servicio, que en su caso se regirá por los términos y condiciones que EL PROVEEDOR comunique al CLIENTE. Conforme a esta cláusula, a las empresas no les interesa asumir el riesgo de contratar con Movistar por varias razones:

a)      Esta cláusula está tomada del contrato del servicio y en el mismo no se adjunta el contrato del proveedor que mencionan (y es previsible que nunca se entregue al usuario si este ya ha contratado el servicio). Por otra parte, ¿si estamos contratando con Movistar un servicio por qué hemos de recibir unas condiciones de un Tercero que no conocemos antes de contratar el servicio?. Para que la contratación sea correcta el consentimiento debe prestarse cuando se realiza el proceso de compra y la voluntad para prestarlo solamente se puede formar adecuadamente si disponemos de todas las condiciones de contratación.

b)      Parece querer exonerarse de toda responsabilidad: Se supone que el usuario contrata con ella pero luego le indica que Movistar solamente prestará cuatro servicios: dar soporte; atención al cliente; gestión de incidencias y gestión del cobro. ¿Cómo puede limitarse a ello si contratamos el servicio con Movistar y no con su proveedor Telefónica?. Está claro que el servicio lo presta Movistar y que ésta subcontrata lo que precise para darlo. Como vemos, la redacción es confusa y claramente desequilibrada a favor de la suministradora del servicio.

c)      Lo más importante a efectos de protección y tratamiento de datos: Tal y como ha redactado Movistar la cláusula, en términos prácticos, este servicio solamente podrá ser usado por usuarios finales que sean a su vez particulares.

La razón es que Movistar presta el servicio a través de terceros (Telefónica y seguramente otros) para lo cual precisa la cesión de todos los datos e informaciones a los mismos. Por tanto, Movistar no tiene con ellos una relación de tratamiento de datos conforme con el artículo 12 de la LOPD y concordantes del reglamento de desarrollo. Realmente, con la aceptación del contrato se consiente la cesión de datos e informaciones que se suban al servidor de sus proveedores.

El problema es que la LOPD exige que, previamente a que los datos de nuestros clientes, pacientes, alumnos, asociados…, se cedan a un tercero (Y un servicio de sincronización y los de la nube en servicios de terceros lo son) se recabe el consentimiento previo a esos titulares de los datos y que esto sea acreditable si no queremos recibir una sanción de la AEPD.

Es decir, que si usted quiere usar el servicio de backup y sincronización de Movistar tendrá que pedir permiso a los titulares de los datos si los de éstos van a estar sincronizados a través del servicio (piense en un simple Excel de clientes particulares, miembros de una asociación, pacientes, alumnos…). Por ello, como en la práctica es demasiado costoso directa e indirectamente es desaconsejable usar este servicio.

Si Movistar hubiera configurado este servicio teniendo a sus proveedores como encargados de tratamiento de datos no sería necesario que los contratantes pidan permiso a los titulares de los datos para contratar con un proveedor que inevitablemente los cede para prestar el servicio porque está así previsto en la Ley.

Por tanto, la mención del dossier de Movistar de que cumple con los niveles de LOPD acabará siendo irrelevante porque empresarialmente es casi seguro que nadie lo usará si quiere cumplir verdaderamente con la Ley Orgánica de Protección de datos y a nivel particular la legislación de datos no es aplicable a ficheros de datos de ámbito doméstico o personal.

Recordemos que usar un servidor sin contrato de tratamiento de datos personales es una cesión inconsentida de datos sometida a fuertes sanciones por parte de la Ley Orgánica de Protección de datos.

Como podemos ver, la diferencia entre contar con un contrato de tratamiento de datos con un proveedor y no tenerlo puede ser una abismal diferencia de costes en términos de sanciones.

 Servicios en la nube sin contrato de tratamiento de datos | UCELAY Bufete de Abogados Mercantiles en Madrid

Consulte

91 445 03 07