La LOPD y el Cloud Computing
Leo en el mundo un artículo de Javier Maestre al que llego a través de Error500 y Barrapunto que me ha hecho reflexionar sobre la ley organica de protección de datos y su aplicación a los servicios del cloud computing. Lo primero que tengo que decir que el artículo está lleno de sarcasmo y trata a los profesionales informáticos y en concreto a los consultores como unos vende motos con honorarios estratosféricos y con aires cercanos a la burguesía, que te sacarán los ojos sin escrúpulos y encima con soluciones de tres al cuarto. Como en todo gremio, incluso en la abogacia, hay gente vende motos, sinverguenzas, ladrones, cabrones, etc…pero tratar a todo un sector de la informática por igual me parece poco inteligente y sensacionalista. Incluso hay gente que actuando de buena fe se equivoca y no por eso todo su sector intenta engañar, por ejemplo el título del artículo, «El cuento de la lechera 2.0» es incorrecto, porque aunque la Web 2.0 y el cloud computing guardan alguna relación , el ejemplo que propone en el artículo es claramente referido al cloud computing no a la Web 2.0. Y no creo que por eso, él tuviera intención de engañar y de hacer mal su trabajo de comunicar o redactar.
Dicho esto, vamos a repasar los artículos de la LOPD que están directamente relacionados con el acceso a los datos por cuenta de terceros o con el hecho de los datos puedan terminar en otros paises. (Al final aparecen tambien artículos referenciados para no tener que acudir a la ley y un apartado de definiciones)
Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
MOVIMIENTO INTERNACIONAL DE DATOS
Artículo 33. Norma general1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.Artículo 33. Excepciones.
Lo dispuesto en el artículo anterior no será de aplicación:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
En los términos de uso de Google Apps Premium y en relación a la privacidad de los datos, el acuerdo (que no contrato y aquí ya me pierdo si un acuerdo tiene el mismo valor que un contrato, que me corrija alguien o intentaré enterarme) expone claramente lo siguiente:
17.1.1. Google cumplirá todas las leyes, regulaciones, requisitos regulatorios y códigos de buenas prácticas aplicables en relación con sus obligaciones de tratamiento de datos en virtud del presente Acuerdo, incluido, sin limitaciones, el cumplimiento de todas las disposiciones de la Ley de Protección de Datos de 1998 del Reino Unido y todas las regulaciones o instrumentos que de ella se deriven, así como de la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (colectivamente, las «Leyes de protección de datos«) aplicables a un controlador de datos, y no realizará, provocará ni permitirá que un tercero lleve a cabo ninguna acción que pueda derivar en un incumplimiento por parte del Cliente de las obligaciones mencionadas.
17.1.2. Google reconoce y acepta que para llevar a cabo las obligaciones relativas al tratamiento de datos mencionadas actuará exclusivamente bajo las instrucciones e indicaciones del Cliente. Google cumplirá puntualmente todas las instrucciones e indicaciones que le indique el Cliente, cuyo alcance permitido deberá acordarse entre el Cliente y Google periódicamente.
17.1.3. Google tomará e implementará todos los procedimientos y medidas de seguridad técnicos y organizacionales necesarios o adecuados para garantizar la seguridad y la confidencialidad de los datos personales que procese y protegerá dichos datos personales frente a tratamientos no autorizados o ilegales, pérdidas accidentales, destrucción o daños.
Analizando la exposición de Javier y yendo directamente a las sanciones economícas, habla de que la empresa incurre en una falta grave 44.3.h por:
Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Sin aportar mucho más que mi interpretación de lo que leo porque letrado no soy y hábil con las leyes tampoco, no consigo ver de que forma esta incumpliendo el contrato. Tal y como expone el punto 17 del acuerdo, Google se responsabiliza de cumplir con la directiva europea base de nuestra LOPD tal y como exige el artículo 9 y además actuará bajo las instrucciones del cliente que en este caso es el responsable de la información.
Tampoco encuentro motivo a las dos multas graves 44.b y e, a las que Javier se refiere. A saber:
b. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
e. La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.
Google no da información en qué servidor puede almacenar los datos de sus clientes y por tanto es cierto que podría caer en algún país que no cuente con leyes similares, pero sería Google quien estaría incumpliendo la LOPD y el contrato con el cliente, y quedaría en manos de al Agencia Española de Protección de Datos el decidir si el cliente es tambien responsable por el deber (implicito, porque no hay nada en la ley que lo diga) de conocer donde se albergan sus datos. Pero es que además Google se responsabiliza de que los servidores que utilize cumplirán con sus politicas de seguridad y protección:
2.8. La información que Google recopile puede almacenarse y procesarse en los Estados Unidos o en cualquier otro país en que Google o sus representantes tengan instalaciones, siempre que estas instalaciones se adhieran a normas de seguridad que ofrezcan el mismo nivel de protección que las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar. Al hacer uso de los Servicios, el Cliente da su consentimiento para cualquier transferencia, procesamiento o almacenamiento de información.
Dentro del ejemplo tambien hace alusiones al hecho de con quien se está firmando el acuerdo y a que si no se tiene información sobre la celebración y contenido. El primer párrafo del acuerdo creo que es bastante claro, sobre con quien se celebra el acuerdo, el momento en que se celebra (click en el botón «Acepto») y el contenido creo que está bien claro:
El Acuerdo de Google Apps edición premier (el «Acuerdo«) se celebra entre Google Ireland Limited, una sociedad constituida con arreglo a la legislación de Irlanda, con domicilio social en Gordon House, Barrow Street, Dublin 4, Irlanda («Google«), y la entidad que acepta las condiciones online estipuladas en este documento (el «Cliente» o «Usted«). El presente Acuerdo tendrá validez a partir de la fecha en la que Usted haga clic en el botón “Acepto” que aparece más abajo (la “Fecha de entrada en vigor”). El presente Acuerdo rige el acceso al Servicio (según se define más adelante) por parte del Cliente y el uso que haga de este.
En resumen, que no encuentro motivo por el cual no aceptar la idea del «experto consultor aburguesado» excepto por el hecho de que no está claro que en el uso de la aplicación se exija el consentimiento explicito por parte del interesado (personal de la empresa, clientes y proveedores) del almacenamiento de la información por un tercero y su ubicación. Cosa que a la que hace referencia en el artículo pero que Javier no cree que esto sea motivo de sanción.
Por último, tampoco entiendo que quiera hacer responsable al consultor de que el cliente firme un contrato donde ponga que acepta salir en la relación de clientes que hacen uso del servicio y que Google usará como publicidad.
11. Publicidad
- Por el presente documento, el Cliente acepta que Google incluya su nombre en una lista de clientes, con la condición de que no sea el único cliente que figure en ella. La emisión de un comunicado de prensa estará sujeta al consentimiento previo por escrito de ambas partes
En cualquier caso quiero darle las gracias porque me ha hecho reflexionar. Porque es cierto que debemos tener cuidado donde colocamos nuestros datos , a quien le permitimos que manipulen nuestros datos y que este tercero debe cumplir de igual forma y tener los mecanismos adecuados para garantizar la confidencialidad y seguridad de nuestros datos. Tambien he aprendido que si los datos caen en paises y estados de la CEE, cumplimos con la LOPD, y que tanto personal de la empresa, clientes y proveedores deben dar su consentimiento para el tratamiento de la información personal .
Como dice Antonio Ortiz, internet no tiene fronteras y sin embargo queremos aplicar las leyes que rigen en cada país. No parece muy lógico.
ANEXOS
Artículo 7. Datos especialmente protegidos.
1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
- Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
- Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
- Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
- Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
- Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
- Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
- Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
- Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Muy buen post.
Leí el articulo en el mundo y me quede con la sensación de estar contemplando a una de esar personas que en la inglaterra del siglo XIX estaban convencidas de que viajar a más de 50km/h cómo prometía el ferrocarril haría que a las pobres personas que viajasen en el «se les saliesen los ojos de las cuencas». Por supuesto pensaba que habría que prohibirlo porque era peligrosísimo. Imagino que se dedicaba a la cría de caballos o algo así…
Hace tiempo que necesitaba un análisis de la situación legal de SaaS para España. Hasta ahora sólo había encontrado algunas referencias en foros, as que gracias por el trabajo que has realizado.
Gracias chicos.
@lucas, tenia en mente hacerlo pero me daba pereza. En cualquier caso, el post tiene posibilidad de mejora con total seguridad
@javier,La verdad es que sigo sin tener ni puñetera idea pero tiene pinta que ha sido un poco tremendista, pero esto vende más. La verdad es que no ha habido muchas reacciones pero creo que ha sido más por no revisar la documentación que porque la gente crea que lleva razón.
Un saludo
Muy bueno el análisis y muy correcto. Lo cierto es que las conclusiones a las que llega el artículo de El Mundo son muy discutibles. Ellos hacen una interpretación extrema para apoyar su argumento, y sí, vale, con la ley en la mano podría pasar, pero lo cierto es que lo veo excesivo y algo traído por los pelos, coincido con tu valoración.
Un saludo.
Gracias Jose.
La verdad es que cada vez veo más claro que buscaba la reacción de la web y no lo ha conseguido (de momento) en parte porque es un coñazo leerse la ley y el acuerdo de Google.
Un saludo
No estoy demasiado de acuerdo con el análisis que realizas, aunque es bueno disponer de otros puntos de vista. En cualquier caso, indicas que:
«Google no da información en qué servidor puede almacenar los datos de sus clientes y por tanto es cierto que podría caer en algún país que no cuente con leyes similares, pero sería Google quien estaría incumpliendo la LOPD y el contrato con el cliente».
Esto no es cierto, debido a que el Responsable del Tratamiento no es Google (que es un mero Encargado del Tratamiento) sino la empresa que utiliza los servicios de Google Apps Premium Edition, y por tanto quien recibiría la sanción. Adicionalmente, no es cierto que el responsable pueda desentenderse de la gestión de los datos de los cuales es responsable más que con la mera firma de un contrato, sino que tiene, no solo el deber in vigilando que mencionaba el RMS, sino que de acuerdo al nuevo reglamento, está obligado a velar por las medidas de seguridad implantadas por el encargado, hasta el punto de poder solicitar el documento de seguridad como encargado del tratamiento que el RDLOPD exige.
La verdad es que es un tema que me preocupa y que andamos informándonos lo máximo posible, porque apostamos cada vez más por soluciones en la nube, pero hay que tener claras todas las implicaciones legales que pueden tener en cuanto a la LOPD.
Gracias por tu articulo en el que das algo de luz sobre este asunto, habrá que seguir investigando y consultado, porque con esto de las leyes no hay nada blanco o negro…
Saludos 😉
@Manuel. Gracias por tu comentarios.
Yo creo que esto merece hacer un post resumen de todos los comentarios e intentar dejar claro las responsablidades de cada agente.
@ruyman. Gracias.
Un saludo
No se que se fumo el Sr. Javier Maestre pero mas equivocado no puede estar. ¿Que pasa con las empresas que tienen sus propios servidores de correo?, ¿Sólo podemos tener correo en Telefónica?, ¿quién vende humo ahora mr Maestre? ¿No sera que su negocio tradicional de timar a las pymes conn un servicio nefasto se va por el desagüe?
Sensacionalista fue un rato pero lo cierto es que abrió un melón que no está bien solucionado. Saludos y Feliz Año
Muchas gracias por el análisis y la discusión que ha seguido. Sinceramente, coincido con «jcmmartin»: A pesar del esfuerzo, el asunto no queda aclarado.
Creo que son perfectamente válidas algunas de las preocupaciones del Sr. Maestre, pero las abro a discusión (si aún existe después de varios meses):
– Prueba documental (el «acuerdo» requiere firma electrónica válida o firma manuscrita).
– Contrato entre «encargado del tratamiento» y «encargado del procesamiento», por mucho Safe Harbor que haya tenido lugar (es sorprendente con qué alegría se enarbola este mero registro previo).
– Satisfacción de la Directiva o la Data Protection Act UK: Aunque nos duela, la normativa es nacional y la AEPD se guía unicamente por la LOPD, que además resulta ser más restrictiva que la DPA, por ejemplo.
En definitiva, creo que Google Apps es algo que hace falta en el mercado actual y Google se merece todo el respeto por esta incursión, pero alguien tiene que hacer mejor sus deberes aún (y esto me recuerda a otros fallos inocentes con Google Buzz y otros servicios en el mercado alemán).
Saludos
Un artículo que puede resultar aclaratorio del despacho Ucelay Abogados: http://www.ucelay.es/publicaciones/si-usa-profesionalmente-determinados-servicios-en-la-nube-podria-incumplir-la-lopd/