lunes, 19 de mayo de 2014

Dropbox y LOPD, su uso por empresas y profesionales:

Dropbox y LOPD
En la actualidad,  multitud de despachos, empresas y autónomos utilizan servicios de almacenamiento en la nube, como por ejemplo Dropbox. Su utilidad es innegable, ya que permite almacenar gran cantidad de información, pudiendo acceder a ella desde cualquier lugar, compartiéndola de forma inmediata y disponiendo de una copia de seguridad de todo el trabajo realizado. Todo ello de forma gratuita (aunque también existen versiones de pago), lo que supone un importante ahorro de costes.

Es por ello que, hoy, vamos a analizar si es legal o no, desde el punto de vista LOPD, usar este tipo de servicios, en concreto, si se hace de forma profesional (cuestión distinta sería utilizar Dropbox para actividades exclusivamente personales o domésticas que se inscriban en el marco de la vida privada o familiar, donde no es de aplicación la LOPD).

En los últimos tiempos, la utilización de estos servicios está proliferando significativamente, pero, el hecho de su utilización generalizada, no va a impedir que, en un determinado momento, podamos ser sancionados por incumplir la LOPD; esto hay que tenerlo en cuenta, ya que de no cumplir las exigencias legales, estaríamos cometiendo una infracción, que podría conllevar importantes sanciones económicas.

¿Cuándo se aplica la LOPD?

Para determinar si la LOPD es aplicable, hemos de tener en cuenta el tipo de datos almacenados.

No será de aplicación la LOPD, y por lo tanto no tendremos de cumplir ningún requisito excepcional, si almacenamos documentos que no recojan datos personales. Por ejemplo, si almacenamos modelos de contratos, planos de viviendas, etc… siempre que no contengan datos que permitan asociarlos a personas identificadas o identificables.

Cuestión distinta es si almacenamos cualquier tipo de documento que incluya datos personales, por ejemplo, contratos con terceros; fichas, tablas de Excel o expedientes con información de nuestros clientes, etc. En este caso será de aplicación la LOPD y habrá que tener en cuenta dos aspectos fundamentales:

1. Existe un acceso a datos por cuenta de tercero:
Lo que obliga a que se cumplan las especificaciones que la LOPD regula para la figura del tratamiento de datos por cuenta de terceros: La empresa o profesional que utiliza Dropbox será responsable de los ficheros y documentos almacenados y Dropbox (o empresa similar) pasaría a convertirse en encargado del tratamiento.

En primer lugar, el artículo 12 de la LOPD, indica que la realización de tratamientos por cuenta de terceros tendrá que estar regulada en un contrato, que deberá hacer mención expresa a los extremos regulados en la ley, entre otros: que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con un fin distinto del que figure en el contrato, ni los comunicará a otras personas; las medidas de seguridad que el encargado del tratamiento está obligado a implementar; obligación de guardar secreto; que una vez finalizada la prestación los datos de carácter personal deberán ser destruidos o devueltos al responsable…

En este primer punto, la dificultad radica en que Dropbox, no ofrece la posibilidad de realizar un contrato personalizado, sino que simplemente aceptamos sus condiciones generales de contratación, que, desde luego, no contemplan todos los requisitos establecidos en la ley, y no equivalen al contrato regulado en el artículo 12.

2. Se produce una transferencia internacional de datos (TID):
Es habitual que los datos almacenados en la nube se ubiquen fuera de España. En concreto, Dropbox, está situada en California. Ello supone que existe una TID, que para llevarse a cabo requiere, que si el estado de destino está fuera de la Unión Europea o no ha sido declarado por la Administración como un Estado que garantiza un nivel adecuado de protección, la previa autorización del Director de la Agencia Española de protección de datos.

Si bien Estados Unidos no es un país con nivel adecuado de protección, existen entidades estadounidenses (empresas, instituciones o particulares) adheridas a los denominados principios de Puerto Seguro (Safe Harbor), que tienen reconocida por la Comisión Europea un adecuado nivel de protección de los datos.

Dropbox, en la actualidad, es Puerto Seguro, con la Certificación Safe Harbor, por lo que no se necesitaría dicha autorización del director de la AEPD.

A pesar de ello, de acuerdo con la AEPD, el “principio de transferencias ulteriores de Safe Harbor”, limita al prestador de servicios (Dropbox en este caso) la subcontratación con otras entidades adheridas a Safe Harbor o mediante un contrato que exija el cumplimiento de los principios de protección de datos (encadenamiento de garantías), lo cual, actualmente, y con este tipo de empresas, es bastante complicado.

Conclusiones:

Desde el punto de vista legal, Dropbox no cumple con las garantías y requisitos exigidos por la LOPD, y es muy difícil, por no decir imposible, forzar a este tipo de compañías a llevar a cabo las obligaciones exigidas por nuestra legislación. Todo lo dicho es también aplicable a otros servicios en la nube como Google Drive o similares.

Por ello, para disfrutar de las ventajas y beneficios que ofrece la nube, pero sin el peligro de ser sancionados por incumplimiento de la LOPD, podemos contratar este tipo de servicios con empresas que cumplan los requisitos legales exigidos.

10 comentarios:

  1. Respuestas
    1. Buenas tardes,

      en la actualidad muchas empresas están prestado servicios cloud que parecen prometer cumplir con los requisitos de la LOPD, yo hasta ahora no he trabajado con ninguna y no puedo poner la mano en el fuego por ellas. Habría que examinar cada uno de los puntos explicados anteriormente de forma individual.

      Pero debido a las repetidas consultas de mis clientes pidiendo una solución estoy estudiando diversas empresas y alternativas que sean garantistas de la protección de datos, por lo que pronto podré recomendar soluciones a esta pregunta.

      Eliminar
    2. http://nubbius.com/blog/falsos-mitos-sobre-la-seguridad-y-legalidad-de-la-nube-de-google-para-abogados en este blog explica claramente que google apos work cumple la normativa de la LOPD

      Eliminar
  2. Que buena pregunta....¿y la respuesta?

    ResponderEliminar
  3. Segun esta lista dropbox si es safe harbor http://safeharbor.export.gov/list.aspx

    ResponderEliminar
    Respuestas
    1. Hola Gotxi,

      es cierto que Dropbox es Puerto Seguro, y así lo refleja el artículo, pero como bien dice posteriormente, el “principio de transferencias ulteriores de Safe Harbor” limita la subcontratación de Dropbox con otras entidades, e impone ciertos requisitos que en el caso de Dropbox no se cumplen.

      Eliminar
  4. Gotxi, lo de Safe Harbor es puro marketing, por favor leete las condiciones de Dropbox, están bajo la legislación del estado de California es como decir que les resbalan las legislaciones europeas. Además Dropbox es un sincronizador, en cada dispositivo dónde se almacena un documento se está vulnerando la LOPD porque no se dispone de medidas de seguridad apropiadas. Además con Dropbox se pueden compartir los archivos de forma "salvaje" osea que con tu raton haces click y ya estás enviando información confidencial a todo el mundo.

    ResponderEliminar
  5. De momento, la única que conozco que cumple LODP es Dataprius

    ResponderEliminar
  6. http://www.dataprius.com/

    ResponderEliminar
  7. Otra que si lo cumple es hornetdrive http://www.hornetdrive.com

    ResponderEliminar